lovasoa a écrit 164 commentaires

Pour le sujet "lecteur DRM", on peut voir ça comme ça si on veut, mais c'est normal de vouloir faire un logiciel libre pour lire un format de données qui existe déjà, non ? Je ne pense pas que la partie "lecture des codes barres" soit polémique. Si on reçoit un document qui contient un code, c'est normal de vouloir le lire avec un logiciel libre. Ou est-ce que je ne vois pas quelque chose ?

Pour ce qui est de la seconde partie, l'existence de "passes sanitaires" qui permettent de rentrer dans un lieu, j'ai bien conscience que c'est un sujet sensible, et il y a des opinions très polarisées sur le sujet, comme en témoignent les commentaires ici. De manière générale, je pense que tout le monde préférerait ne pas avoir à utiliser de passes sanitaires, et retrouver sa liberté d'avant. Mais comme je l’écrivais plus haut, il faut considérer les alternatives. Personnellement, ni le statu quo (pas d'évènement du tout), ni une quatrième vague ne me semblent être des scénarios préférables à l'utilisation de passes sanitaires.

Tu es en grande partie en accord avec la cnil, mais tu propose une application qui vas à l'encontre de cet accord?

Je suis d'accord avec le fait qu'il y a un risque d'accoutumance, et que ces mesures doivent être exceptionnelles et strictement encadrées.

Je ne suis pas d'accord avec le fait que l'application de vérification des passes soit propriétaire et privée, et accessible uniquement à certaines personnes choisies par le gouvernement.

j'ai de plus en plus, l'impression de revenir à l'époque de IIIéme reich

Il ne faut pas exagérer quand même… Je suis sûr que l'on est tous d'accord que l'on ne veut pas juste laisser le virus circuler librement. C'est normal qu'il y ait un débat démocratique sur le degré de restrictions à adopter. À moi, le degré proposé par sanipasse semble raisonnable.

Je comprends les craintes de la CNIL, et je suis en grande partie d'accord. Mais la seule liberté que l'on parle ici de supprimer, c'est la liberté de contaminer d'autres personnes lors d'un événement public.

Mon crédo à moi, c'est

ma liberté s'arrête là où commence celle des autres

Le champ "Genre" peut contenir 3 valeurs :

• M (genre masculin),
• F (féminin), ou
• U (unknown)

Mais je suis d'accord que ça n'a rien à faire là.

Si tu avais répondu à une invitation, et que le test avait été valide, l'information booléenne "invitation validée" aurait été stockée. Mais l'organisateur ne saurait jamais si tu as validé l'inscription avec un test ou un vaccin, ni la date du prélèvement ou de la vaccination, ni aucune autre information.

On peut juste faire une capture d'écran du qr code, et la présenter à l'application.

Si vous êtes prêt à partager ces informations, vous pouvez m'envoyer le PDF sur contact arobase ophir point dev et je regarderai si cela peut être corrigé dans l'application.

On peut juste faire une capture d'écran du qr code, et la présenter à l'application.

Si vous êtes prêt à partager ces informations, vous pouvez m'envoyer le PDF sur contact arobase ophir point dev et je regarderai si cela peut être corrigé dans l'application.

Le passe contient un nom et un prénom, et l'invitation aussi. C'est comme ça que se fait le lien.
À l'arrivée sur le lieu de l'événement, les organisateurs demandent toujours l'identité des invités, comme ils l'ont toujours fait.

Vous avez essayé de recadrer le document pour que le code apparaisse clairement et dans une taille raisonnable ? ;)

Sanipasse ne conserve pas ni la date, ni le résultat du test de dépistage si il est positif. Il n'y a pas de différence entre quelqu'un qui n'a pas répondu à l'invitation, et quelqu'un qui a essayé de répondre mais n'a pas pu parce que son test était positif.

J'ai conscience que le sujet des passes sanitaires est sensible. Je ne suis moi-même pas pour leur généralisation, et j'espère de tout mon cœur que sanipasse.fr deviendra totalement inutile d'ici quelques mois.

Mais en attendant, entre :

• ne pas organiser d'événements culturels du tout,
• repartir pour des mois de confinements parce que le COVID se propage dans les grands événements,
• devoir montrer ses infos médicales personnelles aux organisateurs d'événements, qui les scannent avec une application propriétaire et qui n'a pas subi d'audit de sécurité indépendant,
• ou sanipasse

je préfère sanipasse 😀

Oh, et autre chose que je n'ai pas mentionné dans la dépêche:

Si vous vous intéressez à la sécurité informatique, n'hésitez pas à venir vous attaquer à Sanipasse.
Pour une telle application, la sécurité est critique. Contrairement à celle du gouvernement, mon application est ouverte à tous, et plus il y aura d'yeux sur le code, mieux ce sera.

Je n'ai pas les moyens d'ouvrir un bug bounty rémunéré, mais si vous trouvez une faille, vous serez crédité dans l'application.

https://sanipasse.fr/security.txt

On voit toutes les données en scannant sur sanipasse: https://sanipasse.fr/import/file
Et la liste des champs est dans la spécification officielle du format par l'ANTS: https://ants.gouv.fr/content/download/516/5665/version/11/file/Specifications-techniques-des-codes-a-barres_2D-Doc_v3.1.3.pdf

Pour un test

• Liste des prénoms
• Nom patronymique
• Date de naissance
• Genre
• Code analyse
• Résultat de l’analyse
• Date et heure du prélèvement

Pour un vaccin

• Nom Patronymique du patient
• Liste des prénoms du patient
• Date de naissance du patient
• Nom de la maladie couverte
• Agent prophylactique
• Nom du vaccin
• Fabriquant du vaccin
• Rang du dernier état de vaccination effectué
• Nombre de doses attendues pour un cycle complet
• Date du dernier état du cycle de vaccination
• État du cycle de vaccination

Après les champs de données, le code contient une signature ECDSA

Tracim a ouvert une demande de fonctionnalité sur github, à propos du déplacements des entités existantes. Mais ils n'ont pas offert de financer le développement, ni de contribuer au code, et cette fonctionnalité n'est actuellement pas dans mes priorités, donc je suppose que l'intégration n'est pas pour tout de suite. Mais si quelqu'un est motivé pour financer ça ou pour travailler là-dessus lui-même, ce sera un plaisir pour moi de l'aider !

Bravo et merci à vous pour votre travail sur gimp! Glimpse sera très vite oublié, alors que Gimp fait déjà partie de l'Histoire. Ne vous laissez pas décourager par ces communicants qui ne codent pas grand chose !

La requête serveur ne contient aucune des informations rentrées dans le formulaire, elle n'est là que pour télécharger le document PDF vierge qui sera rempli ensuite. Elle pourrait aussi bien être faite avant la saisie des informations. Et le code n'est pas libre, mais il est open-source, puisqu'un sourcemap est fourni. Le code est clair et correctement commenté.

Je pense que ce journal est un bel exemple la loi de futilité de Parkinson: un million de commentaires sur trois caractères dans la première phrase du journal, et deux commentaires sur le fait qu'un gros jeu de données est mis à disposition sous licence libre.

Je suis désolé si j'ai choqué certain•e•s lecteur•ice•s !

Bravo ! Et je ne connaissais pas coproc en bash, je viens de regarder la doc et ça a l'air super utile. Merci !

Oui, j'ai fait une branche "solution" qui contient une solution, et une pull request qui va avec.

Voilà, j'ai fait un petit dépôt github qui permet de tester sa solution:

https://github.com/lovasoa/pyformat-challenge

Non, bien sûr ! La faille de sécurité est dans l'utilisation de .format() sur une chaîne de caractères contrôlée par l'utilisateur, pas dans la génération du secret.

Pour pouvoir prédire la sortie des nombres générés par random, il faudrait déjà avoir accès à un grand nombre de valeurs générées précédemment, ce qui n'est pas le cas ici. Si ce sujet vous intéresse, vous pouvez aller voir Python-random-module-cracker, un module qui permet de prévoir les nombres sortis par random.

Pour éviter les interactions manuelles, on peut faire un script

password = ""
for i in range(64):
    print(0)
    print("hack everything")
    input()
    input()
    password += extract_password_char(input())
    print(password)
    input()

Et ensuite, on peut exécuter le script avec :

mkfifo fifo
python3 crack.py < fifo | python3 challenge.py | tee fifo

Si vous arrivez à exploiter le manque d'entropie de random pour trouver le mot de passe en un temps raisonnable, alors vous avez bon…

En tout cas, je ne connaissais pas secrets, visiblement introduit dans python 3.6. Merci pour la découverte !

Ah ! J'ai cru qu'il y avait un problème de compréhension dû au fait que le script sur github était légèrement différent. Voilà le lien vers l'ancienne version, pour que le commentaire regagne toute sa valeur humoristique.