mahikeulbody a écrit 1508 commentaires

Ça pue sans doute mais dire que ça vole pas haut (au niveau raisonnement, si j'ai bien compris), c'est aller un peu vite en besogne : rien ne prouve qu'ils ne vont pas croiser cette information avec d'autres.

Vu que ça enregistre toutes les mises-à-jour de Firefox comme "un nouvel appareil"

Je ne crois pas avoir déjà rencontré de sites qui font ça. C'est si courant ?

ignare : ignorant, analphabète, illettré, inculte

Je trouve qu'il y a quand même une connotation méprisante associée à ce terme.

Les enfants sont les plus ignares [sous-entendu ici "encore plus ignares que leurs parents qui ne savent pas ce qu'est un routeur"]

Donc si moi je passe mon temps le nez sur un ordinateur sans jamais toucher à la mécanique de mon auto, je suis également ignare ?

On a un peu trop tendance à considérer son domaine de compétence favori comme devant être celui de tout le monde…

Mais comment effectuer un tel blocage sans bloquer les connexions légitimes ?

Effectivement, je n'avais pas pensé à ça. Ceci dit, autoriser maximum 5 tentatives de suite en provenance d'une même IP devrait largement suffire pour l'utilisateur légitime et ça limiterait drastiquement le brute force si le mot de passe est correct.

Sachant que les utilisateurs légitimes doivent pouvoir se connecter depuis n'importe quelle IP.

De nombreux sites enregistrent une sorte de "signature" des devices connus de l'utilisateur (avec entre autres l'IP) et l'avertissent par email en cas de connexion à partir d'un nouveau device.

Mon doute était coté serveur, pas coté attaquant ; ne pas bloquer des centaines/milliers d'essais sur un même login au cours d'une période de temps limitée au motif qu'ils proviennent d'IP différentes me paraît tellement aberrant que je m'étonnais que ça puisse exister.

On peut donc aussi relativiser le côté « banal » de la chose.

Le "banal" est ici relatif au leak d'une base de hash et des logins associés, indépendamment qu'elle soit en MD5 ou autre chose.

Une telle attaque n'est pas forcément bloquée si elle est menée à distance à partir de dizaines ou de centaines de machines ayant à chaque fois des IP différentes.

Sur le même login ??? Ça me paraît très surprenant.

Il n'y a rien à relativiser : le fait que les hashs soient disponibles est une hypothèse clairement affichée (et "malheureusement banale") de l'étude. C'est d'ailleurs plus pertinent que le cas où on ne les connaît pas car comment faire du brute force autrement ? (on va se faire bloquer au bout de quelques tentatives)

J'ai trouvé cette réponse sur le site de KDE :

Even Qt-translated frameworks use .po files rather than Linguist source files (.ts). This make it possible for translators to use the same tools for all frameworks.

C'est peut-être plus simple mais ce n'est pas une solution. La seule solution est, comme le dit plus haut Psychofox, de chiffrer le disque dur.

commentaire supprimé

Je n'ai plus la source mais je me rappelle avoir lu que les titres du journal Le Monde (édition web) ne sont en général pas rédigés par l'auteur (qui en propose sans doute un quand même). J'imagine qu'au delà (ou en plus) de considérations politiques, il y a aussi certainement le travail du marketing pour donner envie de s'abonner au travers de titres putaclics excitant la curiosité afin d'accéder aux articles.

Pas convaincu qu'il faille voir dans cette histoire de la censure ou de l'auto-censure.

J'ai un interphone "conventionnel" (i.e. chaque appartement est relié au panneau extérieur via ses propres fils (audio, micro, gâche). La gâche de l'interphone est juste un contact sec qui se ferme quand on appuie dessus. J'ai mis en parallèle un relai wifi connecté à ma domotique (Home Assistant), qui elle-même est accessible de l'extérieur en https. Les deux systèmes cohabitent sans problème.

En revanche, je serais farouchement contre le genre de systèmes que tu décris. Mais, pour revenir à ta question, j'ignore quels moyens on dispose pour bloquer ça (faudrait déjà voir de quel type de vote ça relève, les majorités requises ne sont pas les mêmes).

C'est quand même un peu plus subtil que ça : les personnes que la guerre l'opération spéciale était censée asservir protéger sont des russophones ce qui pour la Russie de Poutine est une preuve irréfutable qu'ils sont russes ou qu'ils veulent être russes. D'ailleurs, on devrait nous aussi mener une opération spéciale en Wallonie.

Ceci dit, j'ignore tout de ce que pensent les habitants dans ces régions frontalières russophones. Je voulais juste prendre la défense du camarade Poutine face à ton commentaire diffamatoire.

Mais je pense qu'il est très raisonnable de tabler sur le fait que dans 10 ans, quoi que tu fasses, la NSA sera capable de déchiffrer ce que tu fais aujourd'hui.

A moins de trouver une hypothétique faille dans un système cryptographique, la NSA est impuissante à décrypter les messages et elle le sera encore dans 10 ans ou même 20 car en supposant un doublement de la puissance des ordinateurs tous les 18 mois, ça ne suffira pas pour passer de milliers d'années à quelques heures.

Alors qu'avec un ordinateur quantique, quand il en existera un opérationnel, on va passer à quelques minutes d'un coup. En revanche, il sera toujours (même 10 ans plus tard) incapable de décrypter de la cryptographie post-quantique tout bêtement parce qu'il s'agit d'algorithmes que l'informatique quantique ne sait pas résoudre par nature (ça se démontre formellement [il faudrait que je retrouve la source]). Après, on peut aussi imaginer des attaques hybrides, combinant "conventionnel" et "quantique" mais j'imagine que les concepteurs de cryptologie post-quantique sont conscients de ça et que leurs algorithmes ne sont pas "sécables" de cette manière.

Oui, mais avec quand même une grosse différence dans le cas du quantique : on passerait de dizaines, voire centaines d'années pour décrypter un message à quelques minutes ou heures. On n'est plus dans le même ordre de grandeur que l'amélioration progressive des performances des ordinateurs. De plus, la cryptographie post-quantique vise à rendre celle-ci hors d'atteinte de l'informatique quantique, quel que soit le nombre de qbits mis en œuvre, car il y a des algorithmes qui sont par nature inaccessibles à l'informatique quantique.

Bon, encore faut-il que la cryptographique post-quantique résiste aussi au moins quelques dizaines d'années au progrès des ordinateurs "classiques".

Il ne fait aucun doute que la cryptographie actuelle sera "à poil" face aux ordinateurs quantiques car la décomposition en facteurs premiers est typiquement le truc pour lequel ils sont très efficaces. La question du "quand" n'est pas pertinente, sauf à être sûr que l'échéance se compte en dizaines d'années. En effet, il est très probable que la NSA (et consorts) conservent les documents et échanges interceptés même s'ils ne sont pas en mesure des décrypter aujourd'hui. Dans le tas, il y en aura bien sûr qui n'auront plus aucun intérêt dans 10 ans mais il y en aura aussi beaucoup d'autres qui seront toujours "sensibles". Il est donc pertinent d'essayer dès que possible de rendre les nouveaux documents et échanges résistants à cette éventualité.

Ça ne m'étonnerait donc pas que certains s'emploient à retarder la transition vers une cryptographie post-quantique. Certes, personne n'est en mesure aujourd'hui de dire quand on aura des ordinateurs quantiques opérationnels pour cette tâche. Mais à l'inverse, personne n'est en mesure aujourd'hui d'affirmer que ça n'arrivera que dans 20 ou 30 ans.

S'il y avait des lois contre la désinformation avérée de la part d'un média (ce qui semble incontestable ici sinon Fox New n'aurait pas cédé sur un montant aussi énorme), la Justice pourrait se saisir, indépendamment de la plainte au civil du plaignant.

La vie numérique, c'est aussi l'ordinateur familial, comment sont gérées les sauvegardes (il ne suffit pas d'avoir dans keepass les codes d'accès du cloud S3 pour qu'un proche devine qu'il faut utiliser restic pour récupérer un backup), la synchronisation syncthing des photos entre les PC et les téléphones, le serveur domotique, etc…

J'ai pour ma part un document qui essaie d'expliquer tout ça afin que ma compagne, éventuellement aidée par quelqu'un qui s'y connaît, puisse s'en sortir. C'est d'ailleurs en pensant à cette échéance inévitable que j'ai arrêté il y a plus de 15 ans d'essayer de gérer mon propre serveur de mails, c'est déjà bien assez compliqué pour un expert (que je n'étais pas moi-même).

de confier son portefeuille de mot de passe à son notaire.

Au delà de la question de à qui donner le mot de passe de son portefeuille de mots de passe*, il faut noter que ce dernier est le moyen le plus simple de recenser les sites concernés.

*en ce qui me concerne, je penche vers une enveloppe scellée en deux exemplaires (et deux localisations) chez mes proches.

Je trouve que l'image du déambulateur (ou du fauteuil roulant) est pertinente, si on te promène en permanence dans un fauteuil (loué ou acheté !) tu n'apprends jamais à marcher et tu continues à acheter des fauteuils ! Quand tu apprends à marcher, au début tu tombes et ça fait mal mais au final le bénéfice est sans comparaison.

Elle est pertinente mais pas généralisable. En pratique, il y a des dizaines de sujets qui pris séparément pourraient offrir un bénéfice "sans comparaison" mais tu ne peux tous les aborder, soit par manque de temps, soit parce que tu as d'autres priorités/envies qu'apprendre à faire une vidange, refaire ta plomberie ou réparer une télé (par exemple).

C'est aussi problématique entre chaque version de Qt ?

Un simple appel au service client de l’opérateur téléphonique de la victime peut suffire. Le pirate a juste à prétendre à une carte SIM défaillante, perdue ou à un téléphone volé. Le hacker persuade ainsi le téléconseiller d’activer le numéro de téléphone de sa victime sur une nouvelle carte SIM en sa possession.

Avec le mien, je pense que ça n'a aucune chance de marcher.

Là, il ne s'agit pas juste de démonter puis remonter la box mais aussi et surtout d'en dévoiler le contenu sur internet. Orange pourrait considérer que cela lui cause un préjudice.

LOL !

Bonne soirée quand même :-)