"sélectionner le premier élément de la liste d'experts après un tri par ordre de compétence décroissant"
Vous avez lu l'article ? Ce n'est justement pas fait comme ça. Les experts choisit ne sont pas forcément les meilleurs, ce sont ceux trouvé facilement par les journalistes, ce qui ont déjà parlé à l'antenne, ceux qui sont de "bon client", cela n'a rien à avoir avec la compétence.
Il y a infiniment plus d'experts, que d'intervenant dans les médias, ton explication est donc bancale. Ces experts n'étant pas choisi au hasard, il y a donc un biais contre les expertes.
Vu le nombre d'expert des 2 sexes, vu qu'il n'y aucunes différences de performance du cerveau liée au sexe, il devrait y avoir des statistiques à 50/50. Or, ce n'est pas le cas, il y a donc bien un problème dans le choix des journalistes.
" et donc tout sauf une sélection excluant les femmes."
Ta prose est totalement absurde. Il n'y a que 20% d'expertes disponible, aussi parce qu'il y a que 20% d'expertes à la radio. C'est un cercle vicieux à brisée.
" je dis simplement que cette démarche constitue une discrimination."
Donc, en fait, ton commentaire ne sert réellement à rien ? Ou est-ce une critique déguisée d'une action de discrimination positive ?
Non, ce n'est pas neutre. Ils prennent les mêmes depuis 20 ans, or on a seulement 20% de femmes utilisé comme experte. Ne rien faire ne fera que faire perdurer ce chiffre.
Mais je pensais que la discrimination positive était accepté depuis longtemps. L'effet sur les noirs américains, par exemple, est plus que probant.
git a une puissance très grande, et n'impose rien, le problème vient de là, car le flot est différent selon le nombre de personne, la rapidité des sortis, la vitesse des testes, la présence ou non de multiple branche, la présence de fork local de dépendances open source, etc…
La crypto version Javascript impose que tu fasses confiance à 100% au serveur. C'est du même niveau que HTTPS. Selon le serveur et ton profil de risque, tu peux faire confiance ou pas (genre Snowden sur un site russe ou un ukrainien sur un site US ).
C'est vrai. Mais il suffit de ne pas forcer la main, et de laisser un tableau qui résume l'état des clefs. La vérification est surtout utile, le jour ou un mail vraiment important doit sortir.
Oui, mais il faut détourner aussi le contenu du serveur de clef en même temps, pour que cela marche. Le tout synchronisé avec un truc local au téléphone, il n'y a qu'un état pour faire ça, pour une personne ciblée.
Le seul risque est l'attaque MiM, qui demande des moyens considérables, car actif, et le vol de clef privé.
Il faut donc un 2ième canal pour envoyer les signatures comme les SMS ou autre. Et concernant le vol de clef, seul des clefs à duré de vie courte peuvent limiter le problème. L'idéal serait d'avoir une carte à puce avec la clef dedans.
"C'est sûrement possible, mais ce n'est pas sécurisé. Quelqu'un peut se faire passer pour toi et envoyer à tes contacts une mauvaise clé."
Et alors ? Le problème est présent de la même façon pour toutes les manières de récupérer les clefs. En plus, le problème sera identifié à ton premier mail chiffré.
"Et dans tous les cas, vous ne pouvez pas retirer l'étape de vérification des identités et des clés."
Tu as mal lu. Je n'enlève rien : je diffère. Il ne faut pas oublier aussi que la signatures garantie, qu'il y a toujours la même personne de l'autre coté du message.
"Traduction : la vraie sécurité on s'en fout un peu. "
Pas du tout ! C'est juste que le concept de Wot est complètement foireux. Personne ne s'accorde sur ce que signifie en pratique la "confiance" dans une clef, et encore moins sur les degrés. Il y a autant d'interprétation que d'expert.
En plus, cela ne sert à rien :
- si tu vérifie la clef avec la personne sur un canal secondaire (de visu, carte de visite, par téléphone, etc… et pourquoi pas par sms)
- Dans un monde ou la gestion de la révocation est branlante, il faut des clef à vie courte. J'ai lu 6 mois, aucun "web of trust" sérieux ne peut se mettre en place en 6 mois.
"Il me semblait bien aussi, tu me rassures dans l'idée que la technologie sous-jacente n'est pas forcément mauvaise,"
Disons que dans le monde parano de la sécurité, ils vont te trouver des scénario où la gestion par défaut de serveur de clef pourrait être détourné. Idem si on ne vérifie jamais les clefs de "visu". L'usage de la clef dans un .vcf ou autre, pourrait alourdir les mails. etc…
On peut toujours trouver à redire. En fait, personne ne code jamais un "processus d'usage reconnu" dans un logiciel. J'ai le même problème avec git. La plus part des GUI exposent toutes les fonctionnalités. Alors qu'il n'existe que 2 ou 3 façon d'utiliser correctement git sous peine de souffrir. Or personne n'a encore codé de GUI qui fait un choix de process.
Franchement beaucoup d'étapes pourraient être automatique :
La liste des serveurs de clef où sont poussé les clefs publiques pourraient être caché.
La génération d'une paire de clef pourrait se faire directement à l'installation.
Tous les messages devraient être signé de base, et si on a une clef d'une personne : le mail devrait être directement crypté sans rien demandé de plus.
Ensuite, on peut avoir une interface de vérification de clef pour éviter les attaques MiM, ce genre d'écran pouvait être en mode avancé ("J'ai vérifié le fingerprint avec le propriétaire de la clef"). Le WoT ont s'en fout un peu. Surtout si clef doivent vivre peu de temps, car la gestion de la révocation est complexe.
La clef publique (ou son fingerprint) peut aussi être attaché au mail signé, ainsi le plugin de la personne en face peut récupérer la clef toute seule.
Bref, il y a de quoi faire un système à 90% automatique.
[^] # Re: Usage ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Annuaire d'Expertes. Évalué à 5.
"sélectionner le premier élément de la liste d'experts après un tri par ordre de compétence décroissant"
Vous avez lu l'article ? Ce n'est justement pas fait comme ça. Les experts choisit ne sont pas forcément les meilleurs, ce sont ceux trouvé facilement par les journalistes, ce qui ont déjà parlé à l'antenne, ceux qui sont de "bon client", cela n'a rien à avoir avec la compétence.
"La première sécurité est la liberté"
[^] # Re: Usage ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Annuaire d'Expertes. Évalué à -10.
Il y a infiniment plus d'experts, que d'intervenant dans les médias, ton explication est donc bancale. Ces experts n'étant pas choisi au hasard, il y a donc un biais contre les expertes.
"La première sécurité est la liberté"
[^] # Re: Usage ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Annuaire d'Expertes. Évalué à -10.
"Donc, soyons précis, ce qui est proposé, c'est de corriger une situation d'inégalité statistique par une démarche sexiste."
Et utiliser des mots connotés négativement en faisant croire qu'il s'agit d'une simple mise au point sémantique, est du gros foutage de gueule.
"La première sécurité est la liberté"
[^] # Re: Usage ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Annuaire d'Expertes. Évalué à -9.
Vu le nombre d'expert des 2 sexes, vu qu'il n'y aucunes différences de performance du cerveau liée au sexe, il devrait y avoir des statistiques à 50/50. Or, ce n'est pas le cas, il y a donc bien un problème dans le choix des journalistes.
"La première sécurité est la liberté"
[^] # Re: Usage ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Annuaire d'Expertes. Évalué à -10.
" et donc tout sauf une sélection excluant les femmes."
Ta prose est totalement absurde. Il n'y a que 20% d'expertes disponible, aussi parce qu'il y a que 20% d'expertes à la radio. C'est un cercle vicieux à brisée.
" je dis simplement que cette démarche constitue une discrimination."
Donc, en fait, ton commentaire ne sert réellement à rien ? Ou est-ce une critique déguisée d'une action de discrimination positive ?
"La première sécurité est la liberté"
[^] # Re: Usage ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Annuaire d'Expertes. Évalué à -1.
" n'est justement pas sexiste mais neutre. "
Non, ce n'est pas neutre. Ils prennent les mêmes depuis 20 ans, or on a seulement 20% de femmes utilisé comme experte. Ne rien faire ne fera que faire perdurer ce chiffre.
Mais je pensais que la discrimination positive était accepté depuis longtemps. L'effet sur les noirs américains, par exemple, est plus que probant.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 1.
git a une puissance très grande, et n'impose rien, le problème vient de là, car le flot est différent selon le nombre de personne, la rapidité des sortis, la vitesse des testes, la présence ou non de multiple branche, la présence de fork local de dépendances open source, etc…
"La première sécurité est la liberté"
[^] # Re: Crypto & Javascript ? Seriously ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 4. Dernière modification le 09 juin 2015 à 10:01.
La crypto version Javascript impose que tu fasses confiance à 100% au serveur. C'est du même niveau que HTTPS. Selon le serveur et ton profil de risque, tu peux faire confiance ou pas (genre Snowden sur un site russe ou un ukrainien sur un site US ).
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 2.
C'est vrai. Mais il suffit de ne pas forcer la main, et de laisser un tableau qui résume l'état des clefs. La vérification est surtout utile, le jour ou un mail vraiment important doit sortir.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 2.
Il peut signaler le changement à l'utilisateur en lui demandant de vérifier auprès de l'utilisateur par un canal secondaire.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 2.
Rien, mais ton logiciel peut être fait pour ne pas tenir compte de ce genre de signature.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 2.
Et les serveurs l’acceptent ?
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 3.
Oui, mais il faut détourner aussi le contenu du serveur de clef en même temps, pour que cela marche. Le tout synchronisé avec un truc local au téléphone, il n'y a qu'un état pour faire ça, pour une personne ciblée.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 2.
Si on te vole ta clef, il faut être sur du bon usage du certificat de révocation, sinon quelqu'un peut se faire passer pour toi, un bon moment.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 1.
Qui chiffre sans signer ? C'est implicite.
Non, mais il faut corrompre 2 canaux pour casser le système, cela devient compliqué, même pour un état.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 2.
C'est 2 solutions pour résoudre le même problème : le vol de clef privé.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 1. Dernière modification le 08 juin 2015 à 15:33.
Si on veut parler à tartention@plop.com, il faut simplement vérifier que sa clef ne change pas.
Si on veut parler à son pote, il suffit de vérifier le fingerprint par un 2ième canal (téléphone,…).
On se fout de lier une identité réelle et une clef.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 2.
Le seul risque est l'attaque MiM, qui demande des moyens considérables, car actif, et le vol de clef privé.
Il faut donc un 2ième canal pour envoyer les signatures comme les SMS ou autre. Et concernant le vol de clef, seul des clefs à duré de vie courte peuvent limiter le problème. L'idéal serait d'avoir une carte à puce avec la clef dedans.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 2.
"C'est sûrement possible, mais ce n'est pas sécurisé. Quelqu'un peut se faire passer pour toi et envoyer à tes contacts une mauvaise clé."
Et alors ? Le problème est présent de la même façon pour toutes les manières de récupérer les clefs. En plus, le problème sera identifié à ton premier mail chiffré.
"Et dans tous les cas, vous ne pouvez pas retirer l'étape de vérification des identités et des clés."
Tu as mal lu. Je n'enlève rien : je diffère. Il ne faut pas oublier aussi que la signatures garantie, qu'il y a toujours la même personne de l'autre coté du message.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 3. Dernière modification le 08 juin 2015 à 15:25.
Pas du tout ! C'est juste que le concept de Wot est complètement foireux. Personne ne s'accorde sur ce que signifie en pratique la "confiance" dans une clef, et encore moins sur les degrés. Il y a autant d'interprétation que d'expert.
En plus, cela ne sert à rien :
- si tu vérifie la clef avec la personne sur un canal secondaire (de visu, carte de visite, par téléphone, etc… et pourquoi pas par sms)
- Dans un monde ou la gestion de la révocation est branlante, il faut des clef à vie courte. J'ai lu 6 mois, aucun "web of trust" sérieux ne peut se mettre en place en 6 mois.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 3.
Tu pars du mauvais principe que l'on ne peut pas rendre l'usage de gpg plus simple. C'est juste totalement faux.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 4.
Disons que dans le monde parano de la sécurité, ils vont te trouver des scénario où la gestion par défaut de serveur de clef pourrait être détourné. Idem si on ne vérifie jamais les clefs de "visu". L'usage de la clef dans un .vcf ou autre, pourrait alourdir les mails. etc…
On peut toujours trouver à redire. En fait, personne ne code jamais un "processus d'usage reconnu" dans un logiciel. J'ai le même problème avec git. La plus part des GUI exposent toutes les fonctionnalités. Alors qu'il n'existe que 2 ou 3 façon d'utiliser correctement git sous peine de souffrir. Or personne n'a encore codé de GUI qui fait un choix de process.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 6.
Franchement beaucoup d'étapes pourraient être automatique :
La liste des serveurs de clef où sont poussé les clefs publiques pourraient être caché.
La génération d'une paire de clef pourrait se faire directement à l'installation.
Tous les messages devraient être signé de base, et si on a une clef d'une personne : le mail devrait être directement crypté sans rien demandé de plus.
Ensuite, on peut avoir une interface de vérification de clef pour éviter les attaques MiM, ce genre d'écran pouvait être en mode avancé ("J'ai vérifié le fingerprint avec le propriétaire de la clef"). Le WoT ont s'en fout un peu. Surtout si clef doivent vivre peu de temps, car la gestion de la révocation est complexe.
La clef publique (ou son fingerprint) peut aussi être attaché au mail signé, ainsi le plugin de la personne en face peut récupérer la clef toute seule.
Bref, il y a de quoi faire un système à 90% automatique.
"La première sécurité est la liberté"
[^] # Re: Des avancées dans le matériel également!
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche 2015, l'année du cinéma libre ?. Évalué à 4.
Je trouve hallucinant que personne n'est sorti de camera avec un port USB déclarer comme webcam. Même gopro ne le fait pas. Incompréhensible.
"La première sécurité est la liberté"
[^] # Re: DCP
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche 2015, l'année du cinéma libre ?. Évalué à 2.
\o/
"La première sécurité est la liberté"