needs a écrit 329 commentaires

C'est exactement pour cela que le one-time-pad n'est pas très praticable. Même si on ne se donne pas la contrainte d'avoir un texte chiffré ayant une forme particulière le OTP n'est pas très pratique.

Toutefois qu'il éxiste quand même des cas où l'OTP avec texte chiffré choisi est praticable. Imaginons par exemple que tu peux transmettre des données de manière sécurisée uniquement aujourd'hui (disons qu'il y a un convoi sous très haute garde qui part et qui arrive dans la même journée), mais tu aimerais que le destinataire puisse en prendre connaissance qu'à partir de demain. Ce que tu peux faire est d'envoyer les clés aujourd'hui (dans le convoi sécurisé), et ensuite le texte chiffré le lendemain (sur un canal non sécurisé, par internet en clair par exemple).

Note que j'avais choisis l'exemple OTP pour montrer qu'en théorie (du moins), un texte chiffré aléatoire n'est pas nécéssaire pour avoir un chiffrement sûr.

La sécurité de l’OTP réside sur le fait que tu choisisses ton OTP de manière aléatoire

Même si l'attaquant sait que tu as choisi la clé pour faire en sorte que le texte chiffré ait une forme particulière, ça ne baisse pas la sécurité du one-time-pad. Tout les textes clairs restent possible avec la même probabilité.

Lors d'utilisations successives du OTP, la sécurité baisse si tu choisis le texte cible de manière non aléatoire (car la distance entre deux textes clairs devient mesurable grâce aux textes chiffrés), mais elle ne baisse pas quand les textes cibles sont aléatoirement choisis.

Le texte chiffré est censé être indistinguable d’un flux d’octets aléatoires,

Si il est vrai que la définition d'une suite aléatoire est de ne pas pouvoir être compressée (complexité de Kolmogorov), il est en revanche faux de dire qu'un chiffrement doit nécessairement produire une suite aléatoire.

Que le texte chiffré soit aléatoire n'est pas une propriété nécessaire d'un chiffrement. L'exemple le plus simple est le one-time-pad car tu peux très simplement choisir la clé pour que le texte chiffré ressemble à un autre texte ayant lui aussi du sens : clé = texte_cible xor texte_clair.

En pratique cependant il y a en effet des chances pour que la compression soit inutile car il n'y a pas a ma connaissance dans les chiffrements les plus populaire des moyens pour contrôler la forme du texte chiffré.

Si compresser d'abord et chiffrer ensuite est un problème pour les attaques dîtes à « clair choisi », je ne vois en revanche pas de problèmes quand à chiffrer d'abord, compresser ensuite.

J'ai un SSD […]

La messe est dite.

Je me demande ce que la justice peut faire dans le cas d'un site ou blog anonyme. Je veux parler de quelqu'un qui utilise par exemple Tor, qui utilise Bitcoin ou autre crypto-monnaie pour acheter son nom de domaine et payer l'hébergement (en ayant pris soin de de rester anonyme dans tout ce processus, c'est possible), voir peut-être jusqu’à modifier son style d'écriture, etc…

De tel sites/blogs existent. La justice peut demander à l'hébergeur de fermer le site, mais, elle ne peut pas condamner celui qui le maintient. Il pourra alors tout simplement changer d'hébergement et de nom de domaine.

Mais son robots.txt qui ne permet pas d'accéder au cache google ou archive.org… je trouve ça bizarre pour quelqu'un qui voulais partager son savoir…

Il y a mille et une raison de ne pas se faire indexer par les moteurs de recherche. Si j'ai bien compris il y a l'accusation implicite qu'il voulait se cacher car il savait qu'il publiait des articles illégaux. C'est à mon avis un peu hasardeux de faire de telle hypothèses compte tenu du peu d'informations dont on dispose.

Si tu as un SSD ça peut jouer, sinon le noyau avait déjà toutes les informations dans son cache de fichier. Voici ce que j'ai après deux exécutions :

$ time systemctl status cups
● cups.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)

real    0m11.898s
user    0m0.017s
sys     0m0.157s
$ time systemctl status cups
● cups.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)

real    0m0.034s
user    0m0.010s
sys     0m0.023s

Enfin bon c'est pas très grave…

Oui chez moi c'est la même, sur Archlinux. Quand exécute deux fois de suite la commande par contre elle met moins de temps. Enfin ça dépend, car netctl status c'est toujours très lent. Une histoire de cache de fichier ou je ne sais quoi…

$ time systemctl status cups
● cups.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)

real    0m7.836s
user    0m0.010s
sys     0m0.080s

sur un SSD

Tout est dit.

GNU HURD est un projet qui existe juste pour exister , les codeurs et contributeurs ne contribuent que par plaisir , ce projet n'a aucun avenir.

Je ne vois pas le lien entre contribuer par plaisir et l'avenir d'un projet.

En revanche le noyau qui grandit peu a peu et qui peux dans quelques années être vraiment viable c'est Illumos

Ma boule de cristal LeaderPrice me dit que ce serait plutôt MultiDeskOS, bizarre.

mais je vois quelques trucs qu'il a en moins :)

On t'écoute :)

Celle ci c'est faite sans slide, ni aucun autre support…

La rumeur dit que son ordinateur n'aurait pas réussi à démarrer, car GRUB aurait planté.

– j'ai une carte graphique ATI. Lorsque j'ai acheté la machine, il était difficile d'utiliser le pilote libre. Aujour'hui c'est stable, et les performances s'améliorent sans cesse sur la 3D !

Pareil de mon côté, j'utilise nouveau et la dessus il y a une nette amélioration !

– En passant à systemd, mon système à gagné un temps fou au démarrage, que du bonheur.

Alors chez moi ça n'a pas été vraiment le cas, car je suis assez minimaliste. J'avais fait un test quand y'a eu la mise à jour sur archlinux et mon temps de démarrage est resté le même : ~15 secondes. Maintenant il est aux alentours de 20-25 secondes.

– sur internet, flash tend à disparaître tout doucement, au profit de HTML5 : que du mieux pour les performances.

J'ai plutôt l'impression contraire, certes Flash est bien moins présent, mais les sites avec trop de Javascript deviennent de plus en plus courant et je le sens très vite.

Au boulot j'essaye de recycler au maximum les vieux PC. Des PC puissants de 2006, 2008 fonctionnent à merveille sur une Debian + KDE récente, c'est épatant quand je compare aux PC récemment achetés.

J'ai le même constat que toi au début, mais après quelques mois d'utilisation elles deviennent assez lentes et les problèmes reviennent. Je met plutôt Fedora avec GNOME 3, peut-être que ça vient de GNOME.

Nan mais hips Roger, t'as entendu bon dieu ? Ouai nan mais c'est hips scandaleux… Snuuurff Vindious J'te l'avais dit ! ha! de toutes hips façon j'ai un peu envie de dire que vu comme KDE est hips bloated, je trouve que leur décision est assez co -hips- rhérente. Voila.. Nan mais hips t'as compris ou bien ? ouai D'ailleurs je comprends hips comprends toujours pas comment GNAULE il.., hein? Ouai GNOME, c'est bien qu'est-ce-que j'ai dit, ouai donc GNAULE, et ben hips je vois pas comment il fait pour ne pas être hips dépendant de systemd… m'enfin les gars hips ! Réveillez vous ! Rhaaaa

Snurrflll, boaf puis bon, hé! , les BSD, ouai, les BSD, ils nous hips cassent les co*illes à vouloir toujours faire hips faire différent, bien fait pour eux, ha!. Nan mais ho hips ! mais c'est vrai quoi, pff, hips..

Ouai nan mais c'est ça hips… T'sais quoi ? hips J'ai hâte que systemd deviennent dépendant de béteur-fesse, quoi? Mais oui tu sais là hips… le système à fichiers tout nouveau qu'ils disaient, hips. Voila, c'est ça, avec les bize-tri, ouai, je sais pas, hips c'est des arbres à deux hips branches j'crois, haha, 'doivent pas être bien beaux ses arbres hips…, OUAI donc qu'est-ce-que je disais, voila, béter-eiffel, hips et ben on pourra avoir toutes les applications sandboxed dans des hips containers docker-systemd, qu'ils disaient ha. Ha nan mais t'es c*n bon dieu, hips pas les containeurs du port, hips, nan les containeurs DOCKER… Snurrrfll… Pfff, hips, laisse tomber tu comprends rien à rien, vin -hips- dious.

RogeeeEEEEERRR hips ! Mais qu'il est ou bon sang..

Ouai, Snurrrfll, ah oui la dernière fois hips, ouai, hier jcroa bien hips, y'a Labévu qui est venu, Rhoooaaa, ça faisait hips longtemps.. Il disait qu'il fallait mettre une baise hips de donnée dans systemd, qu'il disait hips, SQL ouai, hein? OUAI dans le cloud, hips, quoi? le claoud, le claude… Tsé bien, le nuage, bon dieu.. T'es bou - hips - ché ou quoi ? Rhaaa

Roger… ROGEERRRRR, Une bièèèèèè hips èèèree !

C'est vrai ! Il manquerait plus qu'un éditeur de texte !

Il y a aussi les environnements de bureau, par exemple GNOME 3 est devenu trop lent sur ma machine et je suis donc passé sur OpenBox, alors qu'avant GNOME 2 marchait plutôt bien. pulseaudio qui ne marche pas et qui consomme beaucoup de CPU quand il arrive à faire sortir du son, et enfin NetworkManager qui ne marchait plus du tout un fois GNOME enlevé, remplacé par netcfg/netctl.

Moi j'ai préféré utiliser des programmes plus léger (quand c'est possible), mais j'aurais aussi pu rajouter de la RAM et utiliser un SSD :)

Le problème c'est que tu as entièrement raison sur ce point, c'est à dire que oui maintenant même 4Go de RAM ne sont parfois pas suffisant, alors que pour la plupart des lecteurs ici, votre usage de l'informatique n'a pas beaucoup changé. Typiquement de mon côté, à part git et Bitcoin, je n'ai pas changé mes habitudes, mais au fil des mise-à-jours, ma machine devient de plus en plus « lourde ».

Je vois personnellement pas encore ça comme un problème, car en pratique tout tient à peu près debout, même si on sait pas trop ou ça vas finir car il y a de plus en plus de couches logiciels que mon côté trollesque a envie de qualifier de « superflues » et « inefficace ». Mais je conçoit parfaitement que mon côté trollesque ferait mieux de retourner élever des chèvres dans le cantal.

J'en viendrais presque à croire qu'il va vraiment inclure LibreOffice dans systemd, enfin bon, c'est certainement pour le pare-feu.

Étant un grand fan de RMXP je trouve que ce clone est vraiment bon. Seulement je me demande si il ne risque pas d'y avoir des problèmes avec Enterbrain (l'éditeur officiel de RMXP) tellement ce clone est ressemblant ? Et sinon Enterbrain ne risque pas de créer des problèmes avec les jeux créés avec RPGBoss ?

La communauté, pour rappel, c'est 10% de gentils libristes, et 90% de services de rens étrangers et/ou hackers malveillants.

lol, source ?

Firefox pour Android envoi les statistiques d'utilisation par défaut ? Il me semble que sur la version Desktop (linux) il y a lors du premier démarrage un message qui te demande si oui ou non tu veux envoyer tes statistiques d'utilisation.

J'ai trouvé - je ne sais plus où - un article qui contredit un peu la version officielle . Quand on cherche un peu sur Google si des doutes existent sur les auteurs de l'attaque, ont trouve des articles du Washington Post, de Wired, …

Le premier lien plus haut contient quelques arguments, plus ou moins appuyés. Le doute me semble raisonnable et j'en ai fait un petit résumé traduit ci-dessous. Je ne suis pas très bon en traduction, mais j'ai eu l'impression que l'article était très didactique, c'est pourquoi on retrouve un peu ce ton dans la traduction.

1. L'anglais utilisé par les pirates ne semble pas caractéristiques d'un anglais « à la nord-coréenne », les fautes repérées ne correspondent pas à celle faîte classiquement par un Nord-coréen.
2. Le code a semble t'il été écrit sur un (des?) PC(s) dont la langue était le Coréen. Seulement la Corée du Nord a son propre dialecte, et le coréen traditionnel est interdit. Il est aussi assez facile de changer la langue d'un PC.
3. En regardant les mot de passes et chemins de fichier « hard-codés » dans le code source, il est probable qu'il y est eu un infiltré chez Sony.
4. Les pirates auraient pu gagner beaucoup d'argent en extorquant Sony, mais ils ont préféré tenter de détruire Sony. Cela ressemble à une vengeance.
5. Les pirates ont ciblé le film « The interview » après que les médias aient supposé un lien entre l'attaque et le film. Ils n'ont pas demandé le retrait du film au début de l'opération.
6. Les pirates utilisent assez bien les médias pour faire parler du piratage, chose que la Corée du Nord a jamais su très bien faire.
7. La Corée du Nord est une cible facile. La sécurité dans les grandes entreprise est en réalité faible et l'industrie n'est pas prête pour se protéger de grandes attaques. Comment l’outil de « prévention des pertes/fuites de données » (DLP pour data loss prevention) n'a pas détecté les Gigabits de données sensible qui s'échappaient vers l’extérieur ?
8. Pointer du doigt la Corée du Nord est une bonne opportunité pour les politiciens (NDT: Américain ?), c'est pourquoi il n'est pas étonnant de voir la Corée du Nord sous le feu des projecteurs.
9. D'après les données piratées publiquement disponibles, il en ressort que la politique de sécurité de Sony était très faible, par exemple utiliser le mot de passe « password » pour des documents importants.

Dans l'article, certains points sont appuyés par des liens externes (vers Wired principalement), je les ai pas mis car tout est en anglais. Si vous voulez en savoir plus je vous recommande de tenter de lire l'article original.

Et il y a quelques articles qui ne sont pas dans HackerNews mais dans http://www.reddit.com/r/programming.

D'ailleurs cher moules, quels sont vos petites astuces pour trouver des articles intéressants ?

Voici quelques détails intéressants tirés de l'article de Kaspersky.

Pour pouvoir contrôler la machine infectée, les pirates ont mis en place dans Turla un moyen pour pouvoir ouvrir un canal de communication à la demande. On pourrait imaginer qu'une fois infectée, la machine ouvre un socket en écoute sur un port bien précis et attende les commandes. Mais cela rend l'intrusion facilement détectable car on se rend compte assez vite que quelque chose cloche.

La technique utilisé par Turla est de « sniffer » le réseau, en attente d'un paquet dit magique, ou paquet d'activation, une fois ce paquet détecté, Turla ouvre un canal de communication et attend les ordres. « Sniffer » le réseau ne requiert pas l'ouverture d'un socket, et donc c'est un peu plus furtif car le canal de communication est ouvert juste quand il le faut.

Techniquement, il semblerait d'après Kaspersky que Turla reprend le code de cd00r. cd00r est une preuve de concept (PoC) pour Linux qui implémente le mécanisme d'activation expliqué plus haut. Et pour ce faire il utilise libpcap. Je vous conseille d'aller lire le commentaire d'en-tête de cd00r car tout est très bien expliqué.

Ce qui nous amène au point suivant : il faut que le programme (le thread en réalité) ait la capability CAP_NET_RAW pour pouvoir sniffer le réseau à l'aide de libpcap. Et si je ne dis pas de bêtises, cela revient sur la plupart des systèmes à être root.

Note à part, cd00r est intéressant car par exemple il n'y a pas de chaînes de caractères de plus de trois lettres dans le code source pour qu'aucune chaîne suspicieuse apparaisse avec la commande string.