khivapia a écrit 2645 commentaires

  • [^] # Re: Quelques précisions

    Posté par  . En réponse à la dépêche Le Conseil d’État reconnaît que le gouvernement US peut accéder aux données de santé des Français. Évalué à 10.

    Je ne crois pas à la théorie du complot (gouvernement vendu au US), je crois plutôt en des raisons plus pragmatiques, comme la pré-existence d'un contrat ou la qualité de service rendue par MS.

    De mon côté je crois qu'une explication est dans la force de frappe financière des grands industriels américains de l'informatique : ils peuvent mettre les ressources nécessaires pour être certifiés plus vite que leurs concurrents plus petits, notamment européens, et remportent les marchés par la suite.
    (Marchés qui sont lancés suite à marketing bien effectué et démarchage commercial).

    De plus étant plus gros leur résilience est plus forte, là où les coûts de certification font que le choix de lancer une démarche ou non est beaucoup plus périlleuse pour une entreprise plus petite.

  • [^] # Re: Pareil ici

    Posté par  . En réponse au journal Les pratiques commerciales de BouyguesTelecom. Évalué à 5.

    En insistant bien sur le fait que vous n'avez jamais reçu de mail (rien ne peut le prouver).

    Petite subtilité : insister sur le fait que vous n'avez jamais reçu le mail, étant faux, peut se retourner contre vous en cas de problème.

    J'insisterais plutôt pour qu'ils prouvent vous avoir bien prévenu - après tout, c'est à eux de prouver vous avoir prévenu à temps, pas à vous d'affirmer que vous n'avez rien reçu.

  • # Génération de clef - en dehors du TPM, possible ?

    Posté par  . En réponse à la dépêche Utilisation d’un TPM pour l’authentification SSH. Évalué à 4.

    Merci pour cette dépêche très intéressante.
    La clef RSA générée est générée par la puce TPM, ce qui peut être problématique car le générateur d'aléa du TPM n'est pas auditable (et les histoires de générateurs d'aléa troués sont légion).

    Est-ce possible de générer sa propre clef, en dehors du TPM, typiquement avec ssh-keygen ou gnupg, pour ensuite la protéger avec le TPM de sorte qu'elle ne soit utilisable que par le TPM ?

  • [^] # Re: 1 : état civil colonial

    Posté par  . En réponse au journal Le 16, le nombre du démon. Évalué à 3. Dernière modification le 19/05/20 à 09:18.

    de l'illétrisme des parents ou de leur absence dans le soutien au devoirs pour différentes raisons.
    Ou de leurs carences éducatives, combien de parents prêtent leur téléphone portable à leurs enfants de 3, 2 voire 1 an pour "avoir la paix"…

  • # Téléphone & connexion à internet

    Posté par  . En réponse au journal L’authentification molasse. Évalué à 3.

    Je partage les remarques de l'auteur du journal.

    J'ajouterais un gros désagrément supplémentaire : si ça vous arrive de commander sur internet dans un endroit où le téléphone ne capte pas bien du tout les données (parce que vous utilisez un PC avec connexion filaire), vous ne pourrez pas avoir une connexion assez fiable, sur votre téléphone, pour envoyer et émettre les données nécessaires à l'authentification.
    Expérience vécue plusieurs fois.

    Alors qu'un simple SMS passe beaucoup mieux, et qu'une calculatrice + carte bancaire fonctionne même en mode déconnecté.

  • # Déontologie des avocats

    Posté par  . En réponse à la dépêche Troisième mise en demeure pour l'association LinuxFr. Évalué à 8.

    Ils n'indiquent pas ni ne conseillent de s'entretenir avec un confrère.
    C'est un manque de déontologie qui n'est pas à l'honneur du cabinet d'avocats qui a rédigé ce courrier.

    "L’avocat doit faire preuve de modération et de délicatesse. Le courrier doit se conclure par la formule invitant la partie adverse à lui communiquer les coordonnées de son conseil.

    La Commission de déontologie exerce un contrôle rigoureux sur le respect des règles précitées, pouvant aller jusqu’à inviter l’avocat rédacteur à ne pas produire un courrier non conforme."

    Il est très simple de signaler la chose au barreau du cabinet d'avocats concernés (en espérant qu'ils ne soient pas trop copains…) histoire qu'il récolte une bonne soufflante.

    https://codedeonto.avocatparis.org/faq/28-relations-avec-la-partie-adverse-et-respect-du-contradictoire/relations-avec-la-partie-adverse-et-respect-du-contradictoire

  • [^] # Re: Je les aime bien mais ....

    Posté par  . En réponse au journal Les pièges de la SNCF. Évalué à 2.

    instaurer une vraie fiscalité carbone
    Tu veux dire augmenter les déjà 70% de taxes qu'il y a sur un litre d'essence ?

  • # Autosuspend USB ?

    Posté par  . En réponse au message clavier gelé. Évalué à 2. Dernière modification le 31/07/19 à 11:10.

    Regarde lsusb -vv pour avoir les ID USB de ton clavier et powertop pour voir si il est en autosuspend.

    Des fois que. En général ce n'est pas mis par défaut mais ça pourrait expliquer le fonctionnement.

  • [^] # Re: Une seule solution ?

    Posté par  . En réponse au journal Référendum d’initiative partagée : couvrez ces noms que je ne saurais voir. Évalué à 2.

    Ça signifie que vendre des actifs c'est diminuer ta capacité à emprunter.
    C'est vrai pour le privé, mais pas pour l'État.
    En effet, le privé (entreprise et individu) ne peut que compter sur ses actifs pour apporter l'argent nécessaire au remboursement de la dette (par génération de cash-flow ou vente d'actif pour solder la dette).

    L'État peut aussi lever de nouveaux impôts, et 'on' lui prête même s'il n'a pas d'actifs tant qu'on a confiance dans le fait qu'il peut les augmenter réellement (donc administration fiscale qui marche et sujets de l'État qui ont du pognon à taxer - sous forme d'épargne financière ou de revenus).

    Donc
    Bref une fois de plus l'État renonce à sa capacité à se financer.
    est faux.

  • # Peut-être un peu plus de sécurité dans les cartes Vitale ?

    Posté par  . En réponse au journal Dématérialisation de la carte vitale : Quid des accès aux soins?. Évalué à 6. Dernière modification le 29/04/19 à 12:56.

    Déjà il y a 15 ans en école d'ingénieur on apprenait à fabriquer de fausses lire des cartes Vitale, où les informations sont 'codées' (et non pas chiffrées) dans un semblant de Binary-Coded-Decimal par paquets de 5 bits, et où il ne faut aucune authentification pour mettre à jour quoi que ce soit, ni pour accéder à vos affections de longue durée et autres informations intéressantes.
    Des cartes où le soft agréé par la sécu pour qu'un professionnel de santé puisse envoyer une feuille de soin électronique se bornait à vérifier qu'il y avait bien une carte de professionnel de santé insérée dans le lecteur à double fente sans l'utiliser aucunement pour un quelconque protocole sécurisé.

    Le téléphone portable n'est pas un objet sécurisé (plusieurs applications bancaires refusent de s'installer sur un téléphone avec LineageOS à jour pour de fausses raisons de sécurité : ce n'est pas l'OS d'origine alors même que le constructeur ne fournit déjà plus de mises à jours depuis longtemps), mais ce sera peut-être moins insécurisé que les cartes Vitale actuelles !

  • [^] # Re: mouaih...

    Posté par  . En réponse au journal Enfin un maire qui a la tête sur les épaules. Évalué à 6.

    je vérifie qu'il n'y a pas un taré en voiture qui arrive trop vite pour être dans l'impossibilité de me tuer.
    Dans ces cas là c'est rigolo (comme piéton) de taper le plus fort qu'on peu, du plat de la main, sur la voiture en train de passer.
    Effet garanti.
    (Point de bonus avec le dos des doigts, plus durs que le plat de la main, et qui font donc un bruit encore plus inquiétant à l'intérieur de la voiture).

  • [^] # Re: prochaine étape la Vuvuzela ?

    Posté par  . En réponse au journal Enfin un maire qui a la tête sur les épaules. Évalué à 2.

    même s'ils endommagent leur milieu.
    Probablement qu'ils n'endommagent pas le leur, de milieu. Du coup tout va bien :-)

  • [^] # Re: Communications chiffrées ?

    Posté par  . En réponse au journal LineageOS. Évalué à 2.

    l'une des deux personnes est un homme, on ne sait laquelle
    Encore des stéréotypes de genre !

    Peut-être l'une d'eux est se prend pour un homme lesbienne et désire être considéré comme telle. Il ne manquerait plus qu'il soit de couleur non dominant pour pouvoir imaginer que tu es raciste.

  • [^] # Re: Il faut faire attention

    Posté par  . En réponse au journal Le comble du ridicule. Évalué à 10. Dernière modification le 08/08/18 à 11:38.

    Pour poursuivre sur une note plus drôle, voici les commandes Unix/Linux politiquement correctes (librement adaptées d'ici https://entertainment.slashdot.org/story/17/12/18/024219/ask-slashdot-whats-the-worst-it-related-joke-youve-ever-heard )

    • les man pages sont maintenant appelées pages personnelles afin d'éviter tout mansplaining
    • pour ne pas froisser les anglophones allergiques aux chats, 'cat' a été toiletté en 'animal_domestique_hypoallergénique'
    • 'yes' est un vestige du temps où les hommes dominaient le monde informatique et pensaient que les femmes ne pouvaient que répondre positivement ; afin de rétablir l'équilibre, on a ajouté une commande 'no'
    • l'option '-f(orce)' a été retirée de tous les programmes : aucun programme ne devrait être forcé par un autre de faire quelque chose qu'il ne veut pas faire par lui-même
    • la commande 'touch' a été retirée suite à nombreux usages inappropriés
    • la commande 'unzip' aussi, pour les utilisateurs anglophones
    • 'more', vestige du temps où l'ultra-capitalisme pensait que le but de la vie était accumuler des richesses indéfiniment a été remplacée par la commande 'less' qui est meilleure pour l'environnement et favorise la décroissance
    • LaTeX a été remplacé par KleeNeX, qui a l'avantage d'être compostable
    • la commande 'kill' a été renommée 'euthanasie' ; pour éviter les dérives, les tâches concernées doivent au préalable donner leur accord librement et explicitement
    • les utilisateurs anglophones ont totalement réécrit 'history', devenu 'theirstory' et qui n'utilise que des technologies neutres
    • 'abort()' est devenu 'ivg()'
    • les démons sont maintenant des guides spirituels
    • X-Window a été interdit aux mineurs
    • les terminaux aux capacités limitées ne sont plus appelés 'dumb terminals' ou terminaux minimaux ; tous les terminaux sont égaux, certains sont seulement à capacités réduites ;
    • root, admin, system et l'oligarchie correspondante ont été débarquées au profit de la Démocratie dans l'Organisation des Systèmes. Tous les programmes peuvent faire ce qu'ils veulent, bien sûr ils ne prendront pas plus de ressources que nécessaire.
  • [^] # Re: Il faut faire attention

    Posté par  . En réponse au journal Le comble du ridicule. Évalué à 0. Dernière modification le 07/08/18 à 16:57.

    Il faut faire avec eux… et faire attention à ne blesser ou choquer personne sur ce genre de question…
    Moi je suis blessé qu'on puisse être choqué par ma façon de parler de ce genre de questions. J'espère que tout le monde sera consensuel avec moi et aura la délicatesse de ne pas me le faire remarquer.

  • [^] # Re: Chaussures du cordonnier

    Posté par  . En réponse au journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free. Évalué à 8.

    L'idée de ces fonctions c'est normalement qu'elles sont "réglables" en termes de ressources demandées.

    Dans le cas de PBKDF + SHA2, les ressources impliquées sont du calcul (très peu de données, juste celles nécessaires au calcul de la fonction de hachage), c'est réglable avec le nombre d'itérations effectuées.

    Les fonctions plus modernes comme Argon2 utilisent à la fois des ressources en calcul et en mémoire (forçant à conserver en mémoire une partie (réglable) des calculs effectués jusqu'à la fin). Ceci est très gênant pour des attaques force brute : plus que les ressources de calcul qui ont évolué (ou peuvent évoluer allant jusqu'à fondre des composants dédiés), les contrôleurs mémoire ont beaucoup évolué pour le débit mémoire mais assez peu pour la latence et les accès aléatoires.
    Autrement dit : si avec un GPU on peut calculer beaucoup de hachés SHA256 ou Blake2 par seconde, on a très peu de mémoire cache et une forte latence mémoire (même si on a un gros débit mémoire). Du coup, on ne peut pas calculer tant que ça de hachés Argon2 par seconde.

    In fine, il faut bien adapter le coût de la solution de sécurité au besoin de sécurité. Argon2 est flexible de ce point de vue.

  • [^] # Re: Tu extrapoles un peu vite

    Posté par  . En réponse au journal Compteur communiquant linky et collecte de la courbe de charge. Évalué à 2.

    j'ai une sortie téléinformation qui va vers mon serveur sur lequel j'enregistre la puissance apparente instantanée toutes les minutes dans une base RRDtool.
    Peux-tu détailler un peu plus, notamment la partie électronique (branchement sur le compteur vers serveur) ? As-tu dû bidouiller un peu ou as-tu pris une solution du commerce qui ne passe pas par le stockage des données à l'extérieur ?

    Il me semble que la téléinformation Linky est très proche de celle des anciens compteurs électroniques.

    Merci !

  • # Flexibilité du travail...

    Posté par  . En réponse au journal [HS ou presque] Réduire le chômage ?. Évalué à 2.

    "Flexibiliser le marché du travail revient à enlever des protections des salariés pris en charge par leur employeurs"
    Pas uniquement. Vraiment flexibiliser le marché du travail, c'est aussi donner aux salariés la possibilité de démissionner beaucoup plus vite que 3 mois, afin qu'ils puissent jouer la carte "j'ai une meilleure offre et ne veux pas faire cette tâche de m****" plus facilement.

    Bizarrement on n'a pas entendu parler de ça !

  • [^] # Re: Nous nous marrons noirs

    Posté par  . En réponse au journal Je ne demande qu’à payer !. Évalué à 3.

    dans les départements d'Outre-Mer (…) il y a quantité de choses qu'on ne peut obtenir normalement
    Cela se comprend: ils ont une fiscalité spécifique, et un marché tellement petit que beaucoup de boîtes ne font pas l'effort de s'y intéresser.

    Par exemple, on peut faire livrer une voiture de métropole dans les Antilles pour environ 500€ (en quelques semaines ; ça ne coûte pas très cher par rapport aux économies des mandataires qu'on trouve en Europe), mais les taxes sont tellement lourdes à l'arrivée pour protéger la rente stimuler l'activité des concessionnaires locaux que ça ne vaut pas la peine.

    Autrement dit : les DOM, c'est la France (et l'Europe) mais ce n'est pas Schengen.

  • [^] # Re: Oui

    Posté par  . En réponse au journal Misogynie et discrimination à l'embauche. Évalué à -2.

    Parmi les études que tu as vu, COMBIEN METTENT EN PLACE UNE MÉTHODOLOGIE qui corrigent pour les effets sociaux ?
    Il me semble que cela a été testé dans les années 30, en Allemagne et aux alentours. J'avais entendu parler d'expérience dans lesquelles des bébés étaient retirés à leurs parents très jeunes, mis avec d'autres bébés et une interaction réduite au strict minimum avec des adultes, et observés pour voir leur développement.

    Bon après dans l'esprit nazi, il fallait clairement corriger un certain nombre d'effets sociaux liés à l'appartenance à certains groupes ethniques ou religieux déterminés, et dans ce but la méthodologie est parfaitement valide.

    Mais je ne suis pas sûr que l'humanité en ait progressé (euphémisme inside). La diversité est belle !

  • [^] # Re: Souriez !

    Posté par  . En réponse au journal web. Évalué à 3.

    Il faut garder à l’esprit qu’on peut avoir des préjugés et essayer de les dépasser, ça me parait plus simple, plus honnête intellectuellement et donc plus sain.
    Marrant, je pencherais pour l'inverse : si je ne sais pas plus que ce que je dois savoir sur quelqu'un (par exemple à l'embauche, puisque c'est le sujet de cette conversation), je suis certain de ne pas discriminer.
    Si j'ai trop d'information, même en étant conscient que je pourrais être susceptible de discriminer, j'ai forcément plus de risques de discriminer soit dans un sens soit dans l'autre. C'est justement parce que je suis conscient du fait que je pourrais discriminer que je préfèrerais ne rien savoir.

    Un peu comme des preuves en cryptographie : si l'adversaire n'a aucune info pour deviner un bit pseudo-aléatoire, il ne peut pas faire mieux qu'une probabilité de succès 1/2 (avantage 0).

  • [^] # Re: Souriez !

    Posté par  . En réponse au journal web. Évalué à 3.

    cela peut permettre aux employeurs d'en savoir plus sur vous avant de vous embaucher ;
    En quoi est-ce mal dans l’absolu ?

    Moins on en sait sur son interlocuteur de plus que nécessaire, moins on risque d'avoir de préjugé et de discriminer.

    C'est identique avec les conflits d'intérêt : moins on est impliqué dans plusieurs situations professionnelles en même temps, moins on risque d'orienter l'une en faveur de l'autre même légalement ou inconsciemment. Croire qu'en étant averti on peut gérer est une illusion.

  • [^] # Re: Des noms !

    Posté par  . En réponse au journal web. Évalué à 2.

    L'idée c'est surtout de leur faire perdre plus d'argent (en devant gérer des demandes non abusives mais avec un coût certain) qu'ils n'en gagnent en traitant mes données.
    Je pourrais aussi leur demander de prouver qu'ils ont eu mon consentement avant de récupérer mes données.

    Le modèle c'est que c'est moins intéressant de connaître les données personnelles d'un chieur que d'une personne qui ne s'embête pas avec cela. Après peut-être que cette donnée elle-même intéresse des gens qui seraient prêts à payer pour cela.

    Quant à prouver qu'ils ont effacé les données de leur base, c'est leur problème pas le mien. J'imagine que juridiquement cette demande ne tiendrait pas trop, les parties étant peut-être présumées de bonne foi. On peut toujours essayer de leur mettre la CNIL sur le dos si on estime qu'on n'a pas obtenu satisfaction.

  • # Des noms !

    Posté par  . En réponse au journal web. Évalué à 5.

    Qui sont ces data brokers, afin que je puisse leur envoyer une demande de retrait de leur base de données ?
    (et leur demander la preuve que les données ont été effacées, pas seulement avec l'ajout d'un tag 'a demandé à effacer ses données').

  • [^] # Re: echellon day

    Posté par  . En réponse au journal web. Évalué à 4.

    et commme ca ton profil est inexploitable
    Ou pas. Il faut récolter plus de données, mais elles sont toujours exploitable. En première approche, c'est comme faire la moyenne des mesures pour trouver la vraie valeur. Le nombre de mesures nécessaires va dépendre de la force du bruit ajouté, mais il y a toujours moyen d'avoir le résultat ou une valeur suffisamment approchée pour les besoins du data broker.