Bon à relire l'arrêt c'est pas si évident, en fait.
le prévenu a parfaitement reconnu qu'après être arrivé "par erreur" au coeur de l'extranet de l'ANSES, avoir parcouru l'arborescence des répertoires et être remonté jusqu'à la page d'accueil, il avait constaté la présence de contrôles d'accès et la nécessité d'une authentification par identifiant et mot de passe; qu'il est ainsi démontré qu'il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité
Donc ce que nous dit l'arrêt, c'est qu'il a reconnu être arrivé sur la page de login, pas qu'il a reconnu qu'il savait que le contenu était protégé. Je suppose qu'il le savait mais l'arrêt ne le dit pas exactement.
Rien n'indique qu'il ait tenté de se défendre en prétendant penser que les documents étaient publics et que le login/mot de passe protégeait autre chose, mais je n'ai pas assisté au procès…
C'était pour l'exemple, je n'étais pas avec lui quand il a téléchargé les docs ni dans sa garde à vue. Mais le mec a reconnu qu'il savait qu'il était sur un site qui devait être protégé.
Qu'il existe des cas où ça ne soit pas vraiment évident ça change rien au problème !
Mais un accès protégé n'induit pas forcément la protection des documents (auxquels il venait d'avoir accès, librement) !
De nombreux site demandent de s'identifier afin d’accéder à / proteger un service (présentation, tri, outil de recherche, outil de regroupement, autre … ), par contre l’accès aux documents est ouvert.
Oui, mais il aurait fallu qu'il dise ça en garde-à-vue pour pouvoir s'en sortir.
Maintenant, le mec qui me balance : « je suis expert en sécurité informatique, je suis arrivé sur une page de login en remontant l'arborescence après avoir cherché confidentiel filetype:pdf [*], il n'y avait aucun autre lien sur la page de login, et aucun lien/formulaire pour se logguer depuis les autres pages, mais j'ai pas pensé une seconde que les documents n'étaient pas publics » j'aurais tendance à penser qu'il me prend pour un imbécile.
J'imagine qu'on lui a un peu mis la pression en plus, du coup il a avoué qu'il savait bien ce qu'il faisait.
[*] j'étais tombé sur un interview d'un mec de reflets qui parlait entre autres de cette affaire et qui disait que Bluetouff savait utiliser Googleuh mieux que Mme Michu, et qu'en utilisant ce type de requête on tombe sur plein de docs mal protégés…
Ce qui est inquiétant, c'est qu'une majorité de députés sont au courant de rien ou se sentent dépassés (comme les citoyens, jusque là ça va), mais votent tout de même pour cette loi.
Si j'ai bien compris (mais c'est possible que non), c'est la clé primaire que tu signes. Je ne vois pas sinon comment révoquer les sous-clés si les correspondants n'ont pas connaissance de la clé primaire.
Donc tu peux refuser de signer une clé primaire si elle a des sous-clés utilisés sur des devices non sûrs (comment le sais-tu ?). En revanche, rien ne m'empêche d'utiliser une sous-clé sur un ordinateur vérolé après que tu l'aies signé.
Enfin, il faut définir ce qu'est un ordinateur que tu ne contrôles pas. Est-ce qu'il suffit que j'en sois le propriétaire ? Ou le seul utilisateur ? Un smartphone c'est bon ou pas ? Sous Windows c'est bon ou pas ?
Je pense que tout le monde n'aura pas la même définition.
L'idée est de garder une sous-clé de chiffrement et une sous-clé de signature, typiquement sur son desktop/laptop ; mais de générer une autre clé de signature pour des usages moins safe comme l'utilisation sur un smartphone/NSA ou sur une clé USB qu'on garde avec soi pour consulter le webmail via un PC public ou d'un ami potentiellement vérolé. On peut révoquer et renouveler plus souvent cette clé qui a plus de chances d'être compromise.
Ça implique cependant de ne pouvoir accéder aux messages chiffrés que via les devices sûrs. Mais permet de signer tous ses messages (chiffrer parfois, signer toujours).
Ça me parait logique dit comme ça, mais est-ce réellement faisable à l'usage ?
Et si j'ai un truc qui s'installe dans /opt (parce que c'est proprio, parce que c'est crade ou parce que c'est une version différente de celle installée par la distrib) mais que je veux quand même l'empaqueter pour gérer plus facilement le déploiement et les mises à jour ?
Erreur de vocabulaire de ma part aussi, en fait :)
Je voulais dire « gérant du TLD » en fait. Le bureau d'enregistrement n'est qu'un intermédiaire entre lui et le client final qui va gérer le domaine. Mais c'est bien au niveau du TLD que va être mise la clé pour signer ta zone. Donc il y a bien 2 intermédiaires. Dans mon exemple :
AFNIC -> Gandi -> example.fr
Et je ne compte pas l'ICANN qui gère la racine, les registars qui achètent les noms de domaine à d'autres registars, les délégations de sous-domaines…
J'ai un .fr chez Gandi. Si je veux mettre DNSSEC, je peux balancer ma clé sur l'interface de Gandi. Je ne sais pas, moi, comment elle est transmise derrière à l'AFNIC. Donc si Gandi se fait pirater, le malotru pourra mettre sa clé à la place/en plus de la mienne, qui sera envoyée de la même façon à l'AFNIC, donc sa fausse zone sera validée par DNSSEC.
Avec mon raisonnement, je ne dois pas simplement faire confiance au gérant de la zone, mais aussi à tous les registars avec lesquels il travaille.
Ou alors quelque chose m'échappe, et je veux bien qu'on m'explique.
PS: le terme 'mademoiselle' a certainement été inventé par les mâles pour distinguer les femmes 'baisables' de celles qui ne le sont pas (les mariées).
S'ils considéraient que les femmes mariées ne sont plus baisables, c'est effectivement vachement discriminant.
Pour te répondre il nous manque la version de la Debian installée, le nom de ton serveur web, le message d'erreur précis, et l'extrait des logs de ton serveur web correspondant à l'erreur rapportée.
J'ajouterai :
est-ce que roundcube a été installé via le paquet debian ou manuellement ?
à la racine de l'installation de roundcube (dépend de la question précédente), tu as aussi un dossier logs, avec un log d'erreur propre à roundcube.
À la réflexion, je pense que le problème vient de la dénomination « source » et « cible ».
C'est clair pour une copie :
- la source est le fichier à copier
- la cible est le fichier créé
Dans le cas d'un lien symbolique, tu appelles « cible » du lien le fichier vers lequel il pointe. Mais la cible de la commande ln, c'est le lien à créer. Donc si tu penses « je mets la cible en dernier argument » tu peux te planter.
Il faut simplement penser qu'on fait une copie au lieu d'un lien, ou que le dernier argument est ce que tu veux créer (ou écraser).
Il faut juste penser que l'ordre des arguments de ln est le même que cp (mais au lieu de faire une copie on fait un lien). Et ça devient tout de suite plus logique…
si n’importe qui peut ajouter une clef publique dans le ~/.ssh/authorized_keys
Normalement, ça ne doit pas être possible.
En tout cas par défaut, si les droits d'écriture de ~/.ssh ne sont pas restreint au compte correspondant, sshd loggue l'erreur « Authentication refused: bad ownership or modes for directory /home/user/.ssh » et ignore la clé (on peut encore se connecter avec un mot de passe si la config le permet).
Ce que je voulais dire c'est que l'épreuve doit permettre de voir comment tu utilises les infos disponibles :
si tu n'as pas les connaissances de bases, mais que tu vas chercher chaque information dans la calculatrice, tu n'as pas le temps de finir l'épreuve
pour répondre correctement à un problème, il faut utiliser les uniquement les infos nécessaires pour y répondre, les avoir compris pour pouvoir les utiliser pertinemment, si tu recraches juste ton cours tu n'as pas les points.
À part comme m'a répondu karteum59 pour faire travailler la mémoire quand on est jeune, je ne vois pas d'intérêt à limiter absolument tout support. D'autant qu'on ne parle que de 2 épreuves (maths et physique, pas de calculatrice en français/histoire/etc.).
Mais je suis peut-être aigri parce que j'ai toujours détesté apprendre des choses par coeur. Quand j'ai besoin de retenir un truc je le note, quand je l'utilise souvent je finis par le retenir sans effort.
D'ailleurs, les programmes avaient déjà évolués en ce sens, les anciennes générations apprenaient beaucoup plus de choses par coeur : les numéros des départements français, la classification périodique des éléments. Puis on a décidé que ça ne servait à rien, et ça fait un bon moment que les élèves n'ont plus à les apprendre.
On vit à une époque où l'information est partout, jusque dans nos poches, doit-on encore considérer comme un problème le fait de pouvoir enregistrer des infos sur une calculatrice ?
Quel est l'intérêt d'apprendre l'intégralité des cours ? On doit retenir ce qui sert le plus souvent (pour gagner du temps au lieu d'aller chercher l'information à chaque fois) et savoir trouver rapidement les autres infos quand on en a besoin.
C'est comme si je voulais tester un adminsys en lui interdisant les pages man.
Je pense qu'il voulait dire une redirection javascript sur la page noscript (qui redirige vers la page classique). Ainsi, si tu files ton lien noscript, le navigateur utilisant javascript sera redirigé vers la page classique.
Je l'ai déjà vu pour des sites mobiles (redirigent vers le site normal si le user agent n'est pas un mobile).
Voir aussi, pour la rapidité d'insertion d'un dump :
- diminuer innodb_log_file_size (quitte à l'augmenter après insertion du dump)
- logs binaires désactivés (si possible)
Dans certains cas, ça m'a fait gagner pas mal de temps.
[^] # Re: Errata
Posté par kna . En réponse au journal L'affaire Bluetouff. Évalué à 1.
Bon à relire l'arrêt c'est pas si évident, en fait.
Donc ce que nous dit l'arrêt, c'est qu'il a reconnu être arrivé sur la page de login, pas qu'il a reconnu qu'il savait que le contenu était protégé. Je suppose qu'il le savait mais l'arrêt ne le dit pas exactement.
Rien n'indique qu'il ait tenté de se défendre en prétendant penser que les documents étaient publics et que le login/mot de passe protégeait autre chose, mais je n'ai pas assisté au procès…
[^] # Re: Errata
Posté par kna . En réponse au journal L'affaire Bluetouff. Évalué à 2.
C'était pour l'exemple, je n'étais pas avec lui quand il a téléchargé les docs ni dans sa garde à vue. Mais le mec a reconnu qu'il savait qu'il était sur un site qui devait être protégé.
Qu'il existe des cas où ça ne soit pas vraiment évident ça change rien au problème !
[^] # Re: Errata
Posté par kna . En réponse au journal L'affaire Bluetouff. Évalué à 2.
J'ai retrouvé l'interview (à 19:20) : https://www.youtube.com/watch?v=wssn-ylN6aw
[^] # Re: Errata
Posté par kna . En réponse au journal L'affaire Bluetouff. Évalué à 8.
Oui, mais il aurait fallu qu'il dise ça en garde-à-vue pour pouvoir s'en sortir.
Maintenant, le mec qui me balance : « je suis expert en sécurité informatique, je suis arrivé sur une page de login en remontant l'arborescence après avoir cherché
confidentiel filetype:pdf[*], il n'y avait aucun autre lien sur la page de login, et aucun lien/formulaire pour se logguer depuis les autres pages, mais j'ai pas pensé une seconde que les documents n'étaient pas publics » j'aurais tendance à penser qu'il me prend pour un imbécile.J'imagine qu'on lui a un peu mis la pression en plus, du coup il a avoué qu'il savait bien ce qu'il faisait.
[*] j'étais tombé sur un interview d'un mec de reflets qui parlait entre autres de cette affaire et qui disait que Bluetouff savait utiliser Googleuh mieux que Mme Michu, et qu'en utilisant ce type de requête on tombe sur plein de docs mal protégés…
[^] # Re: pas que le gouvernement
Posté par kna . En réponse au journal Les douanes ont acheté des IMSI catchers. Évalué à 4.
Ce qui est inquiétant, c'est qu'une majorité de députés sont au courant de rien ou se sentent dépassés (comme les citoyens, jusque là ça va), mais votent tout de même pour cette loi.
[^] # Re: Utilité des sous-clés
Posté par kna . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Si j'ai bien compris (mais c'est possible que non), c'est la clé primaire que tu signes. Je ne vois pas sinon comment révoquer les sous-clés si les correspondants n'ont pas connaissance de la clé primaire.
Donc tu peux refuser de signer une clé primaire si elle a des sous-clés utilisés sur des devices non sûrs (comment le sais-tu ?). En revanche, rien ne m'empêche d'utiliser une sous-clé sur un ordinateur vérolé après que tu l'aies signé.
Enfin, il faut définir ce qu'est un ordinateur que tu ne contrôles pas. Est-ce qu'il suffit que j'en sois le propriétaire ? Ou le seul utilisateur ? Un smartphone c'est bon ou pas ? Sous Windows c'est bon ou pas ?
Je pense que tout le monde n'aura pas la même définition.
[^] # Re: Utilité des sous-clés
Posté par kna . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 3. Dernière modification le 18 mai 2015 à 14:06.
Je pense à une autre utilité : le nomadisme.
L'idée est de garder une sous-clé de chiffrement et une sous-clé de signature, typiquement sur son desktop/laptop ; mais de générer une autre clé de signature pour des usages moins safe comme l'utilisation sur un smartphone/NSA ou sur une clé USB qu'on garde avec soi pour consulter le webmail via un PC public ou d'un ami potentiellement vérolé. On peut révoquer et renouveler plus souvent cette clé qui a plus de chances d'être compromise.
Ça implique cependant de ne pouvoir accéder aux messages chiffrés que via les devices sûrs. Mais permet de signer tous ses messages (chiffrer parfois, signer toujours).
Ça me parait logique dit comme ça, mais est-ce réellement faisable à l'usage ?
# foreach (@king) { bronsanisate($_); }
Posté par kna . En réponse au journal BB King Bronsonisé. Évalué à 3. Dernière modification le 15 mai 2015 à 14:07.
15 jours plus tôt, le tour de Ben E. King
[^] # Re: Des vrais paquets ?
Posté par kna . En réponse au journal Gitlab: paquets Debian, intégration continue. Évalué à 5.
Et si j'ai un truc qui s'installe dans /opt (parce que c'est proprio, parce que c'est crade ou parce que c'est une version différente de celle installée par la distrib) mais que je veux quand même l'empaqueter pour gérer plus facilement le déploiement et les mises à jour ?
[^] # Re: shttp
Posté par kna . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 2.
Erreur de vocabulaire de ma part aussi, en fait :)
Je voulais dire « gérant du TLD » en fait. Le bureau d'enregistrement n'est qu'un intermédiaire entre lui et le client final qui va gérer le domaine. Mais c'est bien au niveau du TLD que va être mise la clé pour signer ta zone. Donc il y a bien 2 intermédiaires. Dans mon exemple :
AFNIC -> Gandi -> example.fr
Et je ne compte pas l'ICANN qui gère la racine, les registars qui achètent les noms de domaine à d'autres registars, les délégations de sous-domaines…
[^] # Re: shttp
Posté par kna . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 2.
J'ai un .fr chez Gandi. Si je veux mettre DNSSEC, je peux balancer ma clé sur l'interface de Gandi. Je ne sais pas, moi, comment elle est transmise derrière à l'AFNIC. Donc si Gandi se fait pirater, le malotru pourra mettre sa clé à la place/en plus de la mienne, qui sera envoyée de la même façon à l'AFNIC, donc sa fausse zone sera validée par DNSSEC.
Avec mon raisonnement, je ne dois pas simplement faire confiance au gérant de la zone, mais aussi à tous les registars avec lesquels il travaille.
Ou alors quelque chose m'échappe, et je veux bien qu'on m'explique.
[^] # Re: Petits pois ou cerf-volant ?
Posté par kna . En réponse au message avis à tous. Évalué à 2.
KAMOULOX !
[^] # Re: sexisme
Posté par kna . En réponse au journal Liste des maires féminines des plus grandes villes du monde d'après Wikidata.. Évalué à 2.
S'ils considéraient que les femmes mariées ne sont plus baisables, c'est effectivement vachement discriminant.
--->[]
[^] # Re: ...
Posté par kna . En réponse au message roundcube webmail. Évalué à 1.
[^] # Re: cp et mv
Posté par kna . En réponse au journal lns: ln -s pour les étourdis. Évalué à 10.
À la réflexion, je pense que le problème vient de la dénomination « source » et « cible ».
C'est clair pour une copie :
- la source est le fichier à copier
- la cible est le fichier créé
Dans le cas d'un lien symbolique, tu appelles « cible » du lien le fichier vers lequel il pointe. Mais la cible de la commande ln, c'est le lien à créer. Donc si tu penses « je mets la cible en dernier argument » tu peux te planter.
Il faut simplement penser qu'on fait une copie au lieu d'un lien, ou que le dernier argument est ce que tu veux créer (ou écraser).
# cp
Posté par kna . En réponse au journal lns: ln -s pour les étourdis. Évalué à 10.
Il faut juste penser que l'ordre des arguments de ln est le même que cp (mais au lieu de faire une copie on fait un lien). Et ça devient tout de suite plus logique…
[^] # Re: Y'a un truc qui m'échappe sur ce sujet...
Posté par kna . En réponse au message Prélèvement SEPA: mandat de prélèvement. Évalué à 3.
Parce que c'est ce qui se faisait déjà officieusement ?
[^] # Re: Test de login interactif
Posté par kna . En réponse au message Bashrc avec paramètre ?. Évalué à 1.
Normalement, ça ne doit pas être possible.
En tout cas par défaut, si les droits d'écriture de ~/.ssh ne sont pas restreint au compte correspondant, sshd loggue l'erreur « Authentication refused: bad ownership or modes for directory /home/user/.ssh » et ignore la clé (on peut encore se connecter avec un mot de passe si la config le permet).
[^] # Re: Test de login interactif
Posté par kna . En réponse au message Bashrc avec paramètre ?. Évalué à 2.
Peut-être a-t-il dans son ~/.profile :
[^] # Re: so 90's
Posté par kna . En réponse au journal Bac et calculatrices programmables : la fin ?. Évalué à 1.
Ce que je voulais dire c'est que l'épreuve doit permettre de voir comment tu utilises les infos disponibles :
À part comme m'a répondu karteum59 pour faire travailler la mémoire quand on est jeune, je ne vois pas d'intérêt à limiter absolument tout support. D'autant qu'on ne parle que de 2 épreuves (maths et physique, pas de calculatrice en français/histoire/etc.).
Mais je suis peut-être aigri parce que j'ai toujours détesté apprendre des choses par coeur. Quand j'ai besoin de retenir un truc je le note, quand je l'utilise souvent je finis par le retenir sans effort.
D'ailleurs, les programmes avaient déjà évolués en ce sens, les anciennes générations apprenaient beaucoup plus de choses par coeur : les numéros des départements français, la classification périodique des éléments. Puis on a décidé que ça ne servait à rien, et ça fait un bon moment que les élèves n'ont plus à les apprendre.
# so 90's
Posté par kna . En réponse au journal Bac et calculatrices programmables : la fin ?. Évalué à 3.
On vit à une époque où l'information est partout, jusque dans nos poches, doit-on encore considérer comme un problème le fait de pouvoir enregistrer des infos sur une calculatrice ?
Quel est l'intérêt d'apprendre l'intégralité des cours ? On doit retenir ce qui sert le plus souvent (pour gagner du temps au lieu d'aller chercher l'information à chaque fois) et savoir trouver rapidement les autres infos quand on en a besoin.
C'est comme si je voulais tester un adminsys en lui interdisant les pages man.
[^] # Re: Direct "live" : la suite... mardi !
Posté par kna . En réponse au journal Disponibilité du député avant une loi Sécurité. Évalué à 1.
Des gouvernants qui ont abusé des système de surveillance c'est pas des « si « en même temps :
[^] # Re: Scrongneuneu de rogntudju
Posté par kna . En réponse au journal Disponibilité du député avant une loi Sécurité. Évalué à 1.
Je pense qu'il voulait dire une redirection javascript sur la page noscript (qui redirige vers la page classique). Ainsi, si tu files ton lien noscript, le navigateur utilisant javascript sera redirigé vers la page classique.
Je l'ai déjà vu pour des sites mobiles (redirigent vers le site normal si le user agent n'est pas un mobile).
# define : exception culturelle
Posté par kna . En réponse au journal Copyright : Le discours devant le sénat de la député Pirate. Évalué à 2.
À chaque débat on nous ressort l'exception culturelle française, mais qu'est ce que ça veut dire au juste ? Un pouvoir à la solde des ayants-droits ?
[^] # Re: Réponses aux questions
Posté par kna . En réponse au message MySQL - Gros problème de performance. Évalué à 1.
Voir aussi, pour la rapidité d'insertion d'un dump :
- diminuer innodb_log_file_size (quitte à l'augmenter après insertion du dump)
- logs binaires désactivés (si possible)
Dans certains cas, ça m'a fait gagner pas mal de temps.