khivapia a écrit 2562 commentaires

  • [^] # Re: La solution ultime

    Posté par  . En réponse au journal La NSA prise la main dans le sac ?. Évalué à 3.

    oui, mais :

    Comment le tirer au hasard ? il faut bien déjà un générateur de nombres aléatoires ;-)

    Et s'ils sont tous troués, surtout avec des attaques aussi faciles que celles présentées dans l'article (c'est-à-dire qu'il suffit de connaître un seul nombre pour être capable de prédire le suivant), ce n'est pas en utiliser un parmi 5 ou 6 qui va beaucoup augmenter la sécurité.
    Ce serait un peu comme se dire "tiens, RSA-1024 a été craqué, je vais utiliser RSA-1026"...
  • [^] # Re: ca n'est pas nouveau

    Posté par  . En réponse au journal La NSA prise la main dans le sac ?. Évalué à 4.

    C'est pour ce genre de raisons qu'un certain nombre d'appels à nouveaux algorithmes (notamment pour les fonctions de hachage) demandent non seulement un algorithme et une évaluation de la sa sécurité (au moins heuristique), mais également une présentation du contexte et des raisons sous-jacentes qui ont contribué à leur design. Ce que la NSA n'est sans doutes pas prête à donner ;-)
  • [^] # Re: Excellent

    Posté par  . En réponse au journal RATP = Moyen de transport fiable. Évalué à 3.

    je ne comprends rien à ton commentaire, je parlais seulement des ministres, que vient le reste là-dedans ?

    Quant au reste (don't feed the troll... ;-) ) :

    Un ministre ne peut pas être également député, c'est dans la constitution (séparation des pouvoirs exécutifs et législatifs). J'entends, il ne peut pas remplir les deux fonctions en même temps, s'il est élu député et nommé ministre.
    Donc le suppléant prend sa place, et est député à part entière tout simplement.

    Pour le fait qu'un vrai professionnel remplit son travail consciencieusement, je suis tout à fait d'accord avec toi et ne comprendrai pas qu'il n'en soit pas ainsi.

    De là, ne pas partir à 17 heures parce qu'on n'a pas fini un truc important, pour moi c'est du même niveau que le conducteur de train (puisqu'on est en plein dedans ;-) ) qui ne quitte pas son poste quand un incident technique fait que son train a 4 heures de retard. C'est normal.

    Enfin j'essaye, mais c'est à titre personnel et n'engage que moi, de ne pas tenter de comprendre les choses en comparant le travail d'un cadre et d'un employé, d'un technicien supérieur et d'un ouvrier qualifié etc. Pour moi ces métiers ne sont pas comparables : comment comparer en effet le cadre qui par définition ne compte pas ses heures de travail, et l'ouvrier qui travaille à la chaîne aux 3/8 ?

    Pour ce qui est des horaires, le cabinet du ministre je l'entendais comme ses conseillers, pas comme son bureau "physique" ;-)
    Bref les horaires d'un ministre ne sont pas de tout repos, on peut discuter sur leurs horaires effectifs, indéfiniment car sans moyen de vérifier (encore que pour les horaires moyens des conseillers je sois à peu près sûr de moi), et ils n'ont pas tant de vacances que ça (d'ailleurs mis à part deux semaines pendant l'été le conseil des ministres se réunit tous les mercredis quoi qu'il arrive).

    Enfin, pour avoir travaillé dans des équipes devant réaliser des gardes, il y a normalement au moins quatre équipes qui tournent (eh oui parce que même aux 3/8, avec les jours de congé, les week-end trois ça ne tient pas). À partir de là, en étant bien organisée la charge de travail ne devrait pas excéder un des quatre jours veille de Noël/Noël /veille du premier janvier/premier janvier par an. Pour un travail qu'on choisit ;-) Alors bien sûr il y a toujours ceux qui passent à travers, mais ça devrait fonctionner.
  • [^] # Re: Et pourquoi je devrais soutenir les grèvistes ?

    Posté par  . En réponse au journal Soyons solidaires avec les grévistes. Évalué à 2.

    la gratuité des transports
    La encore ca dépend. Dépend des trains, toussa.


    Il suffit de se rendre à un distributeur automatique sncf pour se rendre compte de leurs tarifs :
    plus de 80%de réduction (et même plus de 90% en général) sur tous les trains tous les tarifs (sauf peut-être IdTGV)

    plus des carnets de billets gratuits chaque mois, à remplir eux-mêmes, valables pour tous les trajets sans réservation, pour eux et leur famille.
  • [^] # Re: Attention au retour du boomerang

    Posté par  . En réponse au journal Free et la GPL. Évalué à 3.

    Oh il y a d'autres moyens de savoir quel OS tourne dans une box que de la démonter ou de s'y "introduire" virtuellement. Le scan de port n'est pas une intrusion illégale.

    Free n'a d'autant moins à faire ça que si ce n'était pas un noyau Linux qui fait fonctionner la boîte, ils n'auraient qu'à dire ça plutôt que d'ergoter sur des questions de distributions ou non...
  • [^] # Re: Excellent

    Posté par  . En réponse au journal RATP = Moyen de transport fiable. Évalué à 3.

    un travail LARGEMENT moins embetant (on a déja vu un ministre à son ministère le dimanche soir à 23h ? ).

    en même temps si les ministres étaient aux 35 heures ça se saurait.
    Les horaires de leurs cabinets (et donc d'eux-même) sont plutôt de l'ordre de 8h-21h... les bons jours...

    Et en cas de crise, de négociation (qui a dit Xavier Bertrand hier soir ;-) ) ça peut largement dépasser ce cadre.
  • [^] # Re: Dans le privé

    Posté par  . En réponse au journal [H.S.] la france un pays de grévistes ? Pas si sûr.... Évalué à 3.

    Il est sans doutes plutôt pour un service minimum qui assure à ceux qui ne peuvent pas ne pas travailler le fait de pouvoir aller au travail dans des conditions décentes (eh non tout le monde n'a pas de RTT, et tout le monde n'a pas forcément une voiture non plus !). Bref la continuité du service public, quoi... C'est différent d'une interdiction totale du droit de grève.
  • [^] # Re: LSM

    Posté par  . En réponse au journal Le nouveau SeLinux. Évalué à 1.

    La NSA n'est pas une entreprise qui doit vendre son bébé.
    oui.

    Son rôle est de chercher les meilleurs solutions.
    non. Son rôle est le principalement le renseignement.
    (cf http://fr.wikipedia.org/wiki/National_Security_Agency ).

    Notamment une de ses missions concerne l'intelligence économique et donc le renseignement industriel.

    Croit-on vraiment que sa mission de protection du secret du gouvernement américain lui fait publier les algorithmes de chiffrement, programmes informatiques réellement utilisés ???
    Le fait que les algorithmes de chiffrement doivent sans problème pouvoir tomber aux mains de l'ennemi, selon Kerckhoffs, ne signifie pas qu'ils les publient.

    La NSA reste ouverte. L'implication de Red Hat dans SeLinux le montre. Red Hat (et la communauté Linux qui travaille sur SeLinux) a énormément influencé la NSA.
    Ou tout au moins la version qu'elle veut bien fournir.
    Rappelons que la NSA est également très ouverte vu qu'elle travaille avec Microsoft. (et n'oublions pas l'histoire étrange de la NSA_KEY pour alimenter un peu la paranoïa ;-) https://linuxfr.org//2007/07/16/22737.html#851467 et http://cryptome.org/nsakey-ms-dc.htm ;-) )
  • [^] # Re: Typage

    Posté par  . En réponse au journal Qu'est-ce qu'un langage sécurisé ?. Évalué à 3.

    Il y a également une autre approche complémentaire à la question "es-ce que mon code fait ce pour quoi je l'ai codé et quoi qu'il arrive ?"

    l'analyse statique permet de vérifier (ou pointer les défauts) d'un certain nombre de propriétés sur le code :
    absence de division par zéro (ou bien alors pointer pourquoi elle pourrait arriver),
    absence d'erreurs de pointeurs,
    vérifier les valeurs des variables critiques (typiquement, est-ce que la puissance demandée au moteur peut devenir négative... ce qui est mauvais dans un avion ;-)
    maîtrise de l'erreur dans le calcul flottant

    (cf par exemple http://www.astree.ens.fr/)


    Il convient également d'ajouter à cet outil des méthodes plus formelles, du type de celles exigées par les plus hautes qualifications EAL (critères communs), où des outils tels coq http://coq.inria.fr/coq-fra.html permettent de prouver mathématiquement que le code fait bien ce qu'il doit faire (modulo rayon cosmique permutant les bits tout de même ;-) ).
    Le principe est d'écrire formellement les spécifications du programme, puis de les vérifier à l'aide de l'outil.
  • [^] # Re: Parfois, je me demande pourquoi les gens font des simplifications

    Posté par  . En réponse au journal Avec ou sans OS chez Belinea. Évalué à 2.

    pour avoir vu de loin la facture des windows OEM à un petit assembleur qui se faisait livrer (et qui a promptement retourné la facture dès qu'il s'en est rendu compte), hors taxes ça faisait 62 ¤ environ (windows XP il y a six mois), pour une vente au détail à 89¤ (soit une marge de 10¤ aux centimes près pour l'assembleur ; sans compter celles de son revendeur de licences, etc... et celle de Microsoft).

    Pour info Surcouf les vend à 95¤ avec les portables, on peut penser qu'il ont des réductions plus importantes sur le prix initial parce que plus gros.
  • [^] # Re: Pour ceux qui voudraient le lire

    Posté par  . En réponse au journal Le SNEP et ses arguments. Évalué à 2.

    Globalement, on peut dire que l’on dispose aujourd’hui d’un ensemble d’outils capables de
    gérer les flots de l’Internet et en particulier les applications peer-to-peer, de telle sorte que
    l’Internet en y associant des éléments d’authentification devient un environnement parfaitement
    maîtrisé.


    Et tout le chapitre 2, notamment les derniers paragraphes sur les questions de filtrage/de politique de sécurité.

    Pour un newbie qui n'y connaît pas grand-chose, est-ce que la chose est vraiment faisable (de façon efficace, donc sans trop diminer la qualité de service) ou est-ce une vaste fumisterie ?
  • [^] # Re: Evolution

    Posté par  . En réponse au journal box, triple play... et les exclus. Évalué à 5.

    Moi aussi, je peux le faire, regarde : s'il avait fallu faire confiance à une situation de concurrence pour équiper le territoire, toute les petites villes n'auraient pas du tout le téléphone.

    Bah oui. Si on prend le téléphone mobile, c'est vrai que la concurrence a échoué lamentablement à couvrir la majeure partie du territoire, là où le téléphone fixe a parfois mis plus de trente ans à arriver...
  • [^] # Re: Tentatives de réponses

    Posté par  . En réponse au journal Bientot l'interdiction des cartes graphiques puissantes?. Évalué à 2.

    D'accord je comprends enfin ton point de vue ;-)

    Alors après, on peut évidemment tenter de corréler les algorithmes de compression, d'archivage et de chiffrement et d'essayer de résoudre l'équation globale, mais ça devient vraiment très théorique ! :-)

    En effet toute la difficulté de la chose est non pas tant de protéger ses données, mais de se demander qui va chercher à les récupérer et dans quelles conditions, quel prix ces informations ont pour celui qui veut les protéger, et quelle durée il faut les protéger.

    Par exemple :
    * petit frère ou petite soeur, correspondance privée -> pas la peine de se prendre la tête à faire tout ça ;-)
    * petite entreprise, savoir-faire d'une entreprise concurrente -> pas la peine non plus, elle n'a pas vraiment les moyens de casser ne serait-ce qu'une seule clef AES actuellement.
    * (très) grosse entreprise, entreprise concurrente (et info vraiment importantes ;-) ) -> surtout si elle est spécialisée dans la sécurité, elle va directement chercher à casser le schéma général après quelques essais peut-être.
    * état / organisation terroriste -> sans doutes plus de puissance de calcul et de mathématiciens à disposition qu'une grosse entreprise.

    Pour améliorer la robustesse des schémas combinés tels que tu les présente, on peut penser à deux choses :
    * d'une part les utiliser le moins possible (afin de préserver l'obscurité du schéma en question ;-) ) c'est paradoxal mais c'est comme ça (eh oui quelqu'un qui veut vraiment ces informations se donnera les moyens de faire émettre un certain nombre de messages afin de comprendre le mécanisme utilisé)
    * d'autre part vu que la compression (quelle qu'elle soit ) est assez efficace et qu'une deuxième n'apporterait pas grand chose de plus sur le chiffré (parce qu'un bon chiffrement tente d'augmenter l'entropie du texte, la compression sans perte ne peut pas la diminuer), ajouter des morceaux aléatoires avant compression (mais ça augemente la taille du chiffré par rapport au texte clair).


    Après il est intéressant de calculer la capacité maximale de calcul possible actuellement (mettons 1million de cartes graphiques à 500 threads de calcul à 1GHz/de processeurs Cell/de processeurs double coeur tout court), disponible pour une organisation.
    Avec une carte graphique et sans problème de mémoire, elle réalise au maximum 1 million * 500 * 1 milliard = 5*10^17 opérations (cycles) par seconde. Pour se protéger durant 320 ans (10 milliards de secondes) il faut avoir à faire 5*10^27 opérations, soit 2^92. D'où une sécurité de 92 bits est suffisante, alors quand on prend un "bête" AES-256 même théoriquement vulnérable et qu'on suppose qu'on arrive à faire un chiffrement en un seul cycle, on a de la marge ;-)
  • [^] # Re: Windows Vista à peine huit fois plus utilisé que Linux

    Posté par  . En réponse au journal Vista fait le carton. Évalué à 3.

    Oui mais c'est pas l'OS qui fait ca, c'est le framework au dessus et les developpeurs des softs distribues.

    C'est quand même de la responsabilité de l'OS de s'assurer un minimum que les pages mémoire allouées sont proches des processeurs qui font des calculs dessus, de répartir au mieux les threads et les processus entre les différentes machines du cluster...
  • [^] # Re: Et les sources ?

    Posté par  . En réponse au journal A quand un Ministère de la Vérité. Évalué à 4.

    Ensuite, il y une indépendance du corps enseignant vis à vis de l'état qui est dans le même type de principe que l'indépendance de la justice vis à vis de l'état.

    C'est hautement improbable, quoique là encore le manque de sources est criant.

    L'indépendance de la justice vis-à-vis de l'État est liée au principe de séparation des pouvoirs (législatif, exécutif et judiciaire). Il y a donc une certaine indépendance de la justice reconnue par l'histoire et les philosophes.

    Ce n'est pas une indépendance de fait, c'est une indépendance mûrement réfléchie au cours des siècles.
    (Ceci n'empêche pas un contrôle tout de même, comme partout ailleurs dans l'état on pourra remarquer. Par exemple un procureur peut poursuivre 'de son propre chef', mais le ministre peut lui ordonner d'ouvrir une action et leur notation est effectuée par le ministère ; de même les professeurs sont soumis à inspection).

    Autoriser ceci est extremement dangereux pour notre démocratie.
    < Mode param="troll" value="yes">
    Les professeurs ne sont pas élus. Qui représentent-ils si ce n'est eux-même ?
    < /Mode>

    (désolé double post, erreur de manip)
  • [^] # Re: Et les sources ?

    Posté par  . En réponse au journal A quand un Ministère de la Vérité. Évalué à 5.

    Un fonctionnaire a le devoir de ne pas obéir à un ordre absurde ! C'est même écrit quelques part mais je ne me souviens plus ou.

    Ce n'est pas à un ordre absurde, mais à un ordre manifestement illégal.

    Pour info, ce genre de considérations vient des procès de Nuremberg dans les années 50 (et la fin des années 40), quand une ligne de défense des nazis était 'spa ma fôte, on m'avait donné l'ordre'.
  • [^] # Re: Windows Vista à peine huit fois plus utilisé que Linux

    Posté par  . En réponse au journal Vista fait le carton. Évalué à 3.

    "ce sont des grappes de petites machines. Ca ne demande rien de special. "

    euh tout de même, quelques notions poussées en parallélisation et ordonnancement... Juste pour éviter que tout le monde veuille par exemple faire des locks généraux ou bien que le temps passé à calculer soit insignifiant devant celui mis à transférer des données d'une machine à l'autre...
  • # Y a-t-il un lien ?

    Posté par  . En réponse au journal Le livre blanc du SNEP. Évalué à 3.

    où on pourrait consulter l'intégralité du rapport ?

    Sinon si les FAI devaient réaliser des attaques man in the middle pour tous les handshake ssl sans certificat signé par une autorité, je les plains.

    Par ailleurs c'est étrange cette calomnie, quelles sont les études infaliibles qui montrent de façon irréfutables le lien entre mise à disposition illégale et chute des ventes ?
    je crois me rappeler que d'ordinaire (sauf Clearstream) c'est à l'accusateur (/personne mettant en cause d'autres) de prouver ses dires sous peine de dénonciation calomnieuse, pas à l'internaute accusé de "piratage" (/la personnalité accusée de détournement d'argent) de prouver qu'il ne fait rien d'illégal.
  • [^] # Re: Tentatives de réponses

    Posté par  . En réponse au journal Bientot l'interdiction des cartes graphiques puissantes?. Évalué à 3.

    En bref casser un schéma combiné peut être aussi facile que casser un des deux schémas.

    Et même, casser un schéma combiné peut être plus simple que de casser chacun des deux schémas successivement.
  • [^] # Re: Tentatives de réponses

    Posté par  . En réponse au journal Bientot l'interdiction des cartes graphiques puissantes?. Évalué à 5.

    Ici ça devient de la sécurité par l'obscurité ;-)

    Il faut faire attention, quelle que soit le nombre de combinaisons de schémas employés, il est possible que la sécurité ne soit pas augmentée voire diminue :

    pour prendre un exemple historique (qui a été utilisé...), le chiffrement affine : à la lettre x on associe y = a*x+b ; la clef secrète est (a,b).

    Si on combine deux chiffrements affines/linéaires (chiffrement de Hill ; a a' matrices inversibles, b,b' vecteurs) de la sorte (x -> a*x+b -> (a*a')*x + (a'*b + b') ) , on obtient également un chiffrement affine. Certes trouver les deux clefs permet de déchiffrer le message, mais trouver la clef combinée permet de déchiffrer directement.

    Quel que soit le nombre de combinaisons effectuées, la sécurité n'est absolument pas augmentée : même en combinant 500 chiffrements affines, on obtient un chiffrement affine de sécurité (la taille des matrices) équivalente à un seul chiffrement.

    Et cela peut se trouver même en combinant deux schémas qui ne se ressemblent pas (même si a priori c'est moins probable, ce n'est pas impossible).

    Des failles de ce type peuvent donc exister un peu partout, à moins de prouver que des combinaisons augmentent la sécurité, ce qui n'est pas trivial ;-)
  • [^] # Re: Tentatives de réponses

    Posté par  . En réponse au journal Bientot l'interdiction des cartes graphiques puissantes?. Évalué à 2.

    rien n'empêche quelqu'un, à ce que je sache, de coder récursivement une infos déjà codée avec une autre clé.

    Attention avec ce genre d'idées, il est probable que dans un certain nombre de cas cela ne change quasiment pas la sécurité de la chose ; d'où l'utilisation de triple DES au lieu de double

    double DES = deux chiffrements DES d'affilée = deux clefs MAIS 2 bits de sécurité de plus seulement que DES simple.

    d'où l'utilisation d'un schéma moins évident, le triple DES.

    voir http://fr.wikipedia.org/wiki/Triple_DES
  • # Pas de solution mais problème identique.

    Posté par  . En réponse au message Plus de led. Évalué à 3.

    Mais c'est la même chose chez moi, suite à la mise à jour de X & Co.
    portable toshiba vieux de 3 ans, avec clavier externe USB.
    Aucune led ne s'allume sous X mais elles fonctionnent en console, sur le clavier USB.

    En revanche quand je sélectionne le pavé numérique intégré au PC (surcouche du bloc azerty), la led du clavier externe s'allume.
  • # Une vague réponse et une question...

    Posté par  . En réponse au message Problème kernel 2.6.23 avec ipw2200. Évalué à 2.

    Essaye peut-être de mettre plus d'options, notamment debug pour voir un peu plus ce qui se passe ?

    sinon voilà un thread (pou le noyau 2.6.22) avec les mêmes symptômes,
    http://forum.ubuntu-fr.org/viewtopic.php?pid=1124711
    il lui a fallu créer un répertoire 2.6.22 (ou la version du noyau) dans /lib/firmware afin que le firmware soit trouvé et chargé.

    Pourrais-tu sinon détailler un petit peu les problèmes que tu as eu avec l'ACPI et comment tu les as réglés stp ?
    Merci beaucoup
  • [^] # Re: comme pas hazard

    Posté par  . En réponse au journal Mandriva 2008.0 victime d'un complot international. Évalué à 5.

    juste sur le premier point, il n'est pas dit que ce sont les internautes qui sont sous contrôle du gouvernement, mais les FAI !

    Ensuite 137M = 30% de la population de Pékin, pourquoi pas : c'est une grande mégalopole, alors jusqu'où s'arrête-t-elle...

    Pour le reste, le fait qu'il y ait un lien est certainement justifié par beaucoup plus de raisons (non données) qu'une simple attaque sur un site gouvernemental américain comme il s'en passe tous les jours... Et pour la taille des réseaux utilisables, pourquoi pas ? Ils parlent bien d'agents occasionnels !
  • [^] # Re: cool !

    Posté par  . En réponse au journal Youpi !!!. Évalué à 10.

    Oui, c'est très gentil une initiative comme ça !

    Et longue vie à LinuxFr renaissant de ses cendres !