mahikeulbody a écrit 1505 commentaires

  • [^] # Re: Pour des mots de passe en MD5…

    Posté par  . En réponse au lien Pourquoi peut-on pirater un mot de passe de 10 caractères en 2 semaines, contre 5 mois l'an passé ?. Évalué à 3. Dernière modification le 16 mai 2023 à 14:53.

    Mais comment effectuer un tel blocage sans bloquer les connexions légitimes ?

    Effectivement, je n'avais pas pensé à ça. Ceci dit, autoriser maximum 5 tentatives de suite en provenance d'une même IP devrait largement suffire pour l'utilisateur légitime et ça limiterait drastiquement le brute force si le mot de passe est correct.

    Sachant que les utilisateurs légitimes doivent pouvoir se connecter depuis n'importe quelle IP.

    De nombreux sites enregistrent une sorte de "signature" des devices connus de l'utilisateur (avec entre autres l'IP) et l'avertissent par email en cas de connexion à partir d'un nouveau device.

  • [^] # Re: Pour des mots de passe en MD5…

    Posté par  . En réponse au lien Pourquoi peut-on pirater un mot de passe de 10 caractères en 2 semaines, contre 5 mois l'an passé ?. Évalué à 2. Dernière modification le 16 mai 2023 à 14:34.

    Mon doute était coté serveur, pas coté attaquant ; ne pas bloquer des centaines/milliers d'essais sur un même login au cours d'une période de temps limitée au motif qu'ils proviennent d'IP différentes me paraît tellement aberrant que je m'étonnais que ça puisse exister.

  • [^] # Re: Pour des mots de passe en MD5…

    Posté par  . En réponse au lien Pourquoi peut-on pirater un mot de passe de 10 caractères en 2 semaines, contre 5 mois l'an passé ?. Évalué à 4.

    On peut donc aussi relativiser le côté « banal » de la chose.

    Le "banal" est ici relatif au leak d'une base de hash et des logins associés, indépendamment qu'elle soit en MD5 ou autre chose.

  • [^] # Re: Pour des mots de passe en MD5…

    Posté par  . En réponse au lien Pourquoi peut-on pirater un mot de passe de 10 caractères en 2 semaines, contre 5 mois l'an passé ?. Évalué à 2.

    Une telle attaque n'est pas forcément bloquée si elle est menée à distance à partir de dizaines ou de centaines de machines ayant à chaque fois des IP différentes.

    Sur le même login ??? Ça me paraît très surprenant.

  • [^] # Re: Pour des mots de passe en MD5…

    Posté par  . En réponse au lien Pourquoi peut-on pirater un mot de passe de 10 caractères en 2 semaines, contre 5 mois l'an passé ?. Évalué à 3. Dernière modification le 16 mai 2023 à 13:02.

    Il n'y a rien à relativiser : le fait que les hashs soient disponibles est une hypothèse clairement affichée (et "malheureusement banale") de l'étude. C'est d'ailleurs plus pertinent que le cas où on ne les connaît pas car comment faire du brute force autrement ? (on va se faire bloquer au bout de quelques tentatives)

  • [^] # Re: Fichier .po

    Posté par  . En réponse à la dépêche Traduction de KDE : une activité essentielle portée par la communauté KDE francophone. Évalué à 7.

    J'ai trouvé cette réponse sur le site de KDE :

    Even Qt-translated frameworks use .po files rather than Linguist source files (.ts). This make it possible for translators to use the same tools for all frameworks.

  • [^] # Re: Protéger Grub via un mot de passe

    Posté par  . En réponse au journal Réinitialiser le mot de passe root ??. Évalué à 10.

    C'est peut-être plus simple mais ce n'est pas une solution. La seule solution est, comme le dit plus haut Psychofox, de chiffrer le disque dur.

  • [^] # Re: Lol

    Posté par  . En réponse au lien L'icône cadenas pour HTTPS n'était pas une si bonne idée en pratique (et HTTPS à 95%). Évalué à 2. Dernière modification le 06 mai 2023 à 18:31.

    commentaire supprimé

  • # titre et article

    Posté par  . En réponse au lien Censure? "Le Monde" retitre un article sur "l'escalade sécuritaire" sous Macron (article partiel). Évalué à 3.

    Je n'ai plus la source mais je me rappelle avoir lu que les titres du journal Le Monde (édition web) ne sont en général pas rédigés par l'auteur (qui en propose sans doute un quand même). J'imagine qu'au delà (ou en plus) de considérations politiques, il y a aussi certainement le travail du marketing pour donner envie de s'abonner au travers de titres putaclics excitant la curiosité afin d'accéder aux articles.

    Pas convaincu qu'il faille voir dans cette histoire de la censure ou de l'auto-censure.

  • # on peut garder le système ancien et quand même avoir une télécommande par smartphone

    Posté par  . En réponse au message portails, controle d'entrée : reprendre l'indépendance sans fil? . Évalué à 3.

    J'ai un interphone "conventionnel" (i.e. chaque appartement est relié au panneau extérieur via ses propres fils (audio, micro, gâche). La gâche de l'interphone est juste un contact sec qui se ferme quand on appuie dessus. J'ai mis en parallèle un relai wifi connecté à ma domotique (Home Assistant), qui elle-même est accessible de l'extérieur en https. Les deux systèmes cohabitent sans problème.

    En revanche, je serais farouchement contre le genre de systèmes que tu décris. Mais, pour revenir à ta question, j'ignore quels moyens on dispose pour bloquer ça (faudrait déjà voir de quel type de vote ça relève, les majorités requises ne sont pas les mêmes).

  • [^] # Re: la finlande n'irrite que elle même

    Posté par  . En réponse au lien Comment la Finlande est devenue impossible à envahir - lalibre.be (vidéo, 6min). Évalué à 5.

    C'est quand même un peu plus subtil que ça : les personnes que la guerre l'opération spéciale était censée asservir protéger sont des russophones ce qui pour la Russie de Poutine est une preuve irréfutable qu'ils sont russes ou qu'ils veulent être russes. D'ailleurs, on devrait nous aussi mener une opération spéciale en Wallonie.

    Ceci dit, j'ignore tout de ce que pensent les habitants dans ces régions frontalières russophones. Je voulais juste prendre la défense du camarade Poutine face à ton commentaire diffamatoire.

  • [^] # Re: texte qui aurait pu être écrit par la NSA

    Posté par  . En réponse au lien La cryptographie quantique expliquée (hilarant). Évalué à 4. Dernière modification le 28 avril 2023 à 16:52.

    Mais je pense qu'il est très raisonnable de tabler sur le fait que dans 10 ans, quoi que tu fasses, la NSA sera capable de déchiffrer ce que tu fais aujourd'hui.

    A moins de trouver une hypothétique faille dans un système cryptographique, la NSA est impuissante à décrypter les messages et elle le sera encore dans 10 ans ou même 20 car en supposant un doublement de la puissance des ordinateurs tous les 18 mois, ça ne suffira pas pour passer de milliers d'années à quelques heures.

    Alors qu'avec un ordinateur quantique, quand il en existera un opérationnel, on va passer à quelques minutes d'un coup. En revanche, il sera toujours (même 10 ans plus tard) incapable de décrypter de la cryptographie post-quantique tout bêtement parce qu'il s'agit d'algorithmes que l'informatique quantique ne sait pas résoudre par nature (ça se démontre formellement [il faudrait que je retrouve la source]). Après, on peut aussi imaginer des attaques hybrides, combinant "conventionnel" et "quantique" mais j'imagine que les concepteurs de cryptologie post-quantique sont conscients de ça et que leurs algorithmes ne sont pas "sécables" de cette manière.

  • [^] # Re: Du coup on devrait attendre ?

    Posté par  . En réponse au lien La cryptographie quantique expliquée (hilarant). Évalué à 3.

    Oui, mais avec quand même une grosse différence dans le cas du quantique : on passerait de dizaines, voire centaines d'années pour décrypter un message à quelques minutes ou heures. On n'est plus dans le même ordre de grandeur que l'amélioration progressive des performances des ordinateurs. De plus, la cryptographie post-quantique vise à rendre celle-ci hors d'atteinte de l'informatique quantique, quel que soit le nombre de qbits mis en œuvre, car il y a des algorithmes qui sont par nature inaccessibles à l'informatique quantique.

    Bon, encore faut-il que la cryptographique post-quantique résiste aussi au moins quelques dizaines d'années au progrès des ordinateurs "classiques".

  • # texte qui aurait pu être écrit par la NSA

    Posté par  . En réponse au lien La cryptographie quantique expliquée (hilarant). Évalué à 5.

    Il ne fait aucun doute que la cryptographie actuelle sera "à poil" face aux ordinateurs quantiques car la décomposition en facteurs premiers est typiquement le truc pour lequel ils sont très efficaces. La question du "quand" n'est pas pertinente, sauf à être sûr que l'échéance se compte en dizaines d'années. En effet, il est très probable que la NSA (et consorts) conservent les documents et échanges interceptés même s'ils ne sont pas en mesure des décrypter aujourd'hui. Dans le tas, il y en aura bien sûr qui n'auront plus aucun intérêt dans 10 ans mais il y en aura aussi beaucoup d'autres qui seront toujours "sensibles". Il est donc pertinent d'essayer dès que possible de rendre les nouveaux documents et échanges résistants à cette éventualité.

    Ça ne m'étonnerait donc pas que certains s'emploient à retarder la transition vers une cryptographie post-quantique. Certes, personne n'est en mesure aujourd'hui de dire quand on aura des ordinateurs quantiques opérationnels pour cette tâche. Mais à l'inverse, personne n'est en mesure aujourd'hui d'affirmer que ça n'arrivera que dans 20 ou 30 ans.

  • [^] # Re: machines à voter

    Posté par  . En réponse au lien elections US: Fox paiera 787 millions à Dominion pour éviter le procès (diffamation, fake news) . Évalué à 2.

    S'il y avait des lois contre la désinformation avérée de la part d'un média (ce qui semble incontestable ici sinon Fox New n'aurait pas cédé sur un montant aussi énorme), la Justice pourrait se saisir, indépendamment de la plainte au civil du plaignant.

  • # il n'y a pas que le problème des sites à clôturer

    Posté par  . En réponse au journal Vie numérique et mort physique. Évalué à 10.

    La vie numérique, c'est aussi l'ordinateur familial, comment sont gérées les sauvegardes (il ne suffit pas d'avoir dans keepass les codes d'accès du cloud S3 pour qu'un proche devine qu'il faut utiliser restic pour récupérer un backup), la synchronisation syncthing des photos entre les PC et les téléphones, le serveur domotique, etc…

    J'ai pour ma part un document qui essaie d'expliquer tout ça afin que ma compagne, éventuellement aidée par quelqu'un qui s'y connaît, puisse s'en sortir. C'est d'ailleurs en pensant à cette échéance inévitable que j'ai arrêté il y a plus de 15 ans d'essayer de gérer mon propre serveur de mails, c'est déjà bien assez compliqué pour un expert (que je n'étais pas moi-même).

  • [^] # Re: La meilleure façon...

    Posté par  . En réponse au journal Vie numérique et mort physique. Évalué à 3.

    de confier son portefeuille de mot de passe à son notaire.

    Au delà de la question de à qui donner le mot de passe de son portefeuille de mots de passe*, il faut noter que ce dernier est le moyen le plus simple de recenser les sites concernés.

    *en ce qui me concerne, je penche vers une enveloppe scellée en deux exemplaires (et deux localisations) chez mes proches.

  • [^] # Re: Ignorance is money...

    Posté par  . En réponse au journal Facile à utiliser, Bug ou Feature?. Évalué à 7. Dernière modification le 23 avril 2023 à 13:53.

    Je trouve que l'image du déambulateur (ou du fauteuil roulant) est pertinente, si on te promène en permanence dans un fauteuil (loué ou acheté !) tu n'apprends jamais à marcher et tu continues à acheter des fauteuils ! Quand tu apprends à marcher, au début tu tombes et ça fait mal mais au final le bénéfice est sans comparaison.

    Elle est pertinente mais pas généralisable. En pratique, il y a des dizaines de sujets qui pris séparément pourraient offrir un bénéfice "sans comparaison" mais tu ne peux tous les aborder, soit par manque de temps, soit parce que tu as d'autres priorités/envies qu'apprendre à faire une vidange, refaire ta plomberie ou réparer une télé (par exemple).

  • [^] # Re: Bientôt GTK 4

    Posté par  . En réponse au lien The GTK+3 port of GIMP is officially finished - @zemarmot. Évalué à 5.

    C'est aussi problématique entre chaque version de Qt ?

  • # ça existe (en France), des opérateurs téléphoniques qui font ça ?

    Posté par  . En réponse au lien la double authentification par SMS deviendrait obsolete à cause du SIM-swapping ?. Évalué à 3.

    Un simple appel au service client de l’opérateur téléphonique de la victime peut suffire. Le pirate a juste à prétendre à une carte SIM défaillante, perdue ou à un téléphone volé. Le hacker persuade ainsi le téléconseiller d’activer le numéro de téléphone de sa victime sur une nouvelle carte SIM en sa possession.

    Avec le mien, je pense que ça n'a aucune chance de marcher.

  • [^] # Re: Aspect juridique.

    Posté par  . En réponse au lien Dans les entrailles de la LIVEBOX 6 : analyses, mesures et décorticage de son électronique. Évalué à 2.

    Là, il ne s'agit pas juste de démonter puis remonter la box mais aussi et surtout d'en dévoiler le contenu sur internet. Orange pourrait considérer que cela lui cause un préjudice.

  • [^] # Re: Je sais pas mais...

    Posté par  . En réponse au journal Carte bancaire piratée, la faute à qui ?. Évalué à 3.

    LOL !

    Bonne soirée quand même :-)

  • [^] # Re: Je sais pas mais...

    Posté par  . En réponse au journal Carte bancaire piratée, la faute à qui ?. Évalué à 3.

    Oui, et comme on le voit dans ce général, les mécanismes anti fraude ne sont pas toujours appliqués.

    Ma carte est réellement bloquée pour les transactions internet. J'ai pu le vérifier à maintes reprises au début quand il m'arrivait d'oublier ce blocage.

    Non, plutôt que t’es soit très naïf, soit t’as raté le fait que quelque part, ta banque se sert.

    La reformulation est bien tentée mais au fond tu me prends toujours pour un débile. La question ici n'est pas de savoir si les banques se servent (c'est évident) mais si la mienne se sert sur le service "cartes virtuelles". La réponse est non et je me fiche que tu me crois ou pas. Zenitram qui a, je crois, la même banque pourrait te le confirmer mais il n'a sans doute pas la même patience que moi.

    Je réagissais surtout au fait que ces numéros de carte virtuelles sont surtout un avantage pour les banques, pas pour les porteurs de cartes.

    Tu n'as aucun argument pour dire ça. Ou plutôt si, un seul : elles feraient payer un service - présenté comme un avantage pour les gogos comme moi - alors qu'elles en seraient les principales bénéficiaires. Mais on en revient toujours au même point : je ne paye pas ce service (cf. point ci-dessus) et très peu de banques le proposent, ce qui rend ton argumentation pour le moins contre-intuitive :-)

  • [^] # Re: achats frauduleux suite à mise à jour de ma cb sur mon compte Amazon

    Posté par  . En réponse au journal Carte bancaire piratée, la faute à qui ?. Évalué à 5.

    Arrêter de stocker sa carte de paiement chez Amazon, en soi c’est un défi. Ils font tout pour que tu l’enregistre…

    C'était effectivement pénible car il fallait à chaque fois penser à aller la supprimer après la transaction. Mais ça, c'était avant. Depuis quelques mois, quand on ajoute une nouvelle carte (virtuelle, en ce qui me concerne), ça demande si on veut la garder pour une prochaine fois ou non.

  • [^] # Re: Je sais pas mais...

    Posté par  . En réponse au journal Carte bancaire piratée, la faute à qui ?. Évalué à 8.

    et ton numéro généré il se remplit tout seul dans le formulaire, maître capello?

    J'ai la désagréable impression qu'au lieu d'avoir un échange normal, tu me prends pour un demeuré. Bon, je vais quand même répondre à tes autres réponses.

    Celui de t’éviter de perdre des sous à cause de fraude sur internet. La banque doit te rembourser, et tu peux pas vraiment éviter d’avoir une carte physique (cf le sujet du journal, t’es donc toujours sujet à la fraude et le problème est pas franchement résolu).

    J'ai bloqué les transactions internet pour ma carte physique donc, si, le problème est résolu. Et si j'ai une fraude avec une carte virtuelle, je suis couvert par la banque de la même façon que pour une carte physique.

    Quelque part, j’en doute. Ta banque ne bosse pas à l’œil, visa et leurs copains non plus.

    Es-tu en train suggérer que je mens ?! Non, les banques ne bossent pas à l’œil, elles se rémunèrent notamment sur les transactions carte (mais peu importe que la carte soit physique ou virtuelle).

    Parce qu’elles peuvent te marketer ça comme une avancée pour toi, et te vendre le service.

    Puisque je te dis que je paye 0€ pour la gestion de mon compte avec une carte physique et les cartes virtuelles ! C'est si dur à croire ou c'est parce que c'est une sérieuse épine dans ton argumentation ? Il suffit de vérifier sur internet.

    Si tu me dit que tu le copie dans ton presse papier, je vais rigoler un grand coup, v’la le « gain de securite conséquent ».

    Quand bien même je devrais le retaper, je trouverais que ça en vaut largement la peine (j'admets cependant que pour un professionnel faisant plein de transactions internet tous les jours ça puisse être un problème). Mais en l'occurrence, j'ai confiance dans mon système Linux (qui plus est, sous wayland, ce qui règle le problème du presse-papier ouvert à tous vents).

    Je vais en rester là.