Alors que le nombre de commentaires du blog de mr Rogard oscille entre un zéro absolu et pas grand chose, son article prend 24 commentaires à l'heure d'aujourd'hui.
Ses arguments (mais est-ce des arguments?) se font démonter.
Au cœur des préoccupations des cinéastes, la contrefaçon numérique qui détruit la valeur créative et porte atteinte à cette forme essentielle de la liberté d’expression qu’est la liberté de création.
C'est énorme. Alors comme ça la contrefaçon numérique porte atteinte à la liberté de création? Je ne sais pas ce que ce monsieur fume, mais j'aimerai qu'il partage.
Les gens sont libres de créer. Toujours. Partout, en tout temps et en tout lieu. Je chante une chanson pour endormir le petit cousin, mon beau-frère dessine sur un cahier, ma mère danse, mon voisin dessine des maisons. Qu'il y ait de la contrefaçon numérique ou pas.
C'est un premier point. Absolument _rien_ ne peut empêcher la liberté de création.
Quel est le problème alors? Le problème est simple, c'est que suite à la liberté de création, des charmants personnages appelés financiers sont arrivés. Ils se sont rendus compte que la création pouvait se vendre. Et se vendre cher. Concernant la musique, ils ont bâtis des empires financiers sur la duplication et reproduction des œuvres musicales. Or, internet a démoli leur business plan. Il est possible aujourd'hui quasiment gratuitement de dupliquer à l'infini une oeuvre musicale. Sauf que ces messieurs voient ça comme une perte énorme d'argent.
Plusieurs points restent à débattre, comme:
-est ce que la duplication gratuite des oeuvres nuit elles à leurs interets?
-est ce que la duplication gratuite des oeuvres nuit elles aux interêts des artistes?
Mais ces deux points sont immédiatement écartés. Le coupable est trouvé, il s'agit d'internet, il faut le faire payer. Le mobile, la perte financière de ses sociétés.
Il est cynique d'essayer de chercher quelle est la valeur de nos libertés individuelles face à l'industrie du disque. N'oubliez pas, ces gens là veulent protéger _leur_ marché, ils veulent protéger _leurs_ interêts. Les artistes n'ont jamais eu besoin des majors pour créer.
Je dis bien créer, mais les artistes doivent bien vivre. De la même manière qu'un développeur de LL doit manger à la fin du mois, un artiste ne doit pas mourir de faim.
Les majors proposent un cadre aux artistes, en leur fournissant de quoi survivre (en les payant) et les artistes fournissent de la musique. Cette relation n'est pas figée, et je me demande qui est le plus dépendant de l'autre...
Pour finir, je dirais qu'il est très intéressant d'imaginer un monde dans lequel les majors n'existent plus. Mais une fois de plus, ces majors veulent nous faire croire qu'elles sont essentielles, que sans elle, les artistes ne créent plus, et qu'elle disent la vérité: Pour sa part, la SACD défendra ses convictions en respectant celles des autres mais en n’hésitant pas, à chaque fois que cela s’avérera nécessaire, à rétablir la vérité.
La vérité, ou leur vérité?
En fait, tu as le choix entre
-reprendre de l'existant
-en libre
-en proprio
-inventer quelque chose
Par exemple lorsque tu dis: En plus quand ces mêmes admins doivent pouvoir gérer certains trucs (rajouter une adresse mail, ajouter une base de donnée), là ce n'est plus possible de tout se faire à la main.
Par exemple : comment admin-machin peut il ajouter les adresse toto@machin.com et titi@machin.com alors que ces trois comptes sont vu sous linux comme 3 comptes utilisateurs.
Le rajout des compte toto et titi exigent un accès root, de plus le serveur étant mutualisé, il faut les créer comme utilisateurs virtuels pour le seveur de mail, ce qui se configure également en root...
Une solution consiste à utiliser une BdD. J'ai mis en oeuvre un système de mail multidomaine, multiutilisateur.
La création de domaines, de boites mails, d'alias, etc.. est entièrement géré via la BdD. Ton client n'a pas besoin des droits root.
Tu peux ensuite pluguer sur une BdD des mécanismes de virtual host. Il ne reste qu'a ajouter une correspondance dans un DNS, et hop.
En trois INSERT dans la base tu crées un user, et cet utilisateur crée en quelques INSERT un admin qui va avoir son nom de sous-domaine, un site web, et son domaine mail, puis ses users avec d'autres INSERT.
L'intégralité de la solution se gère par l'accès à une BdD, et là, tu peux tuner finement les droits d'accès, et les users n'ont jamais droit à root.
C'est libre, c'est configurable à l'envie, mais c'est à toi de faire tout à la main, ce qui peut être long.
Pour les solutions clés en main, je suis tombé l'autre jour sur VHCS http://www.vhcs.net/new/ qui m'a l'air pas mal et que je n'ai pas testé.
J'ai l'impression qu'il y a un flottement dans le texte entre le one time password et l'authentification forte. Je connais mal les one time password. Je connais mieux les PKI.
Voici mes deux euro-cents sur l'authentification forte et les tokens matériels:
Question: comment garantir de la crypto forte?
-> première sous question: que veut on protéger?
Réponse: 3 grandes familles existent: le chiffrement, la signature, et l'authentification.
Ces trois familles reposent sur le mécanisme de clé privée / clé publique. Ce concept de clé privée /publiques est celui qui nous intéresse ici. Associé aux clés publiques, un certificat qui ajoute des informations comme l'adresse mail du possesseur de la clé publique, des dates de validité, etc..
La clé privée est privée et ne doit être connue que du possesseur de la clé. Le certificat (et la clé publique associée) sont publics, (ie diffusables partout)
Cette crypto est communément appelée PKI, et la PKI correspond à une mise en oeuvre de ces mécanismes. De très nombreuses RFC définissent ce qu'il faut faire pour construire une PKI. Dans le logiciel libre openssl a tout ce qu'il faut pour batir une PKI.
En gros:
-on génére une autorité (un couple de clé et certificat).
-On génére des couples clés privés/publics pour chacun de nos utilisateurs.
-Les certificats sont signés par l'autorité (comprendre authentifiés par l'autorité)
Puis, toute personne qui souhaite utiliser notre PKI doit agréer l'autorité, en gros faire confiance a cette autorité, et par la, faire confiance aux certificats signés par celle ci.
Donc un user peut récuperer un certificat quelquepart, vérifier son authenticité, puis l'utiliser.
Ca, c'est pour la théorie. Je passe les mécanismes de révocation de certificats, de mécanisme permettant l'authent, la signature et le chiffrement.
Bref.
Venons en au point qui nous intéresse, les cartes à puce (ou token USB).
Un point crucial concernant ces PKI concerne la clé privée. Si elle est diffusée, forcément, elle ne sert à rien.
Et survient un paradoxe: comment être persuadé que la clé privée ne fuite jamais dans aucun cas alors qu'il faut l'utiliser?
La solution réside dans l'utilisation d'une carte à puce. Une carte à puce est un ordinateur complet, et donc, la clé privée ne sort jamais de la carte à puce. Toutes les opérations crypto sont réalisées par la carte à puce, depuis le tirage des clés, jusqu'aux opérations de chiffrement/déchiffrement. La clé privée est donc parfaitement protégée, et la carte à puce elle même peut protéger des brute force en détruisant la clé au bout de trois tentatives de code PIN.
C'est donc génial (du point de vue crypto). Mais.
Mais tout n'est pas si évident. Et entre autre vient le point noir de la communication entre un programme local au PC et la carte à puce. Une norme de communication existe et s'appelle la norme PKCS#11. Les constructeurs de carte à puce fournissent donc un middleware (un driver, quoi) permettant de présenter une interface PKCS#11 à un programme du PC. Et ces middleware existent uniquement sous windows. Certains middleware ont existé sous linux (je pense au clés token USB rainbow ikey1000) mais sous la forme de blobs binaires, attachés à une certaine version de noyau.
Bref:
la solution serait effectivement d'implémenter:
-premièrement d'une couche PKCS#11
-deuxièmement du pilote spécifique pour une carte particulière
-troisièmement une couche applicative (un add-on pour openssl ? )
Maintenant, que celui qui ne s'est jamais trompé me lance la première pierre...
Je suis d'accord; quelle a été la plus belle bêtise que vous avez faite?
Je démarre dans le mode <mavie>:
On me prévient que le site web a des problèmes. Je me connecte en vitesse en ssh, et effectivement tout est en vrac.
Des vieilles versions du site qui trainent, des vieux trucs, des services zarb qui tournent, une arborescence qui a été modifié, le souk complet.
Sueurs.
Je vais chercher des backups, je remonte le bin's, en plus le serveur rame comme pas permis, le service ftp est ouvert, le service smtp, j'espère qu'on s'est pas fait pirater. Je me rends compte que la base SQL est en vrac aussi, je remonte le minimum, je me déchire, j'arrive a faire un truc qui tourne sur trois pattes bien crado, mais bon.
Et là, je me rends compte que je me suis trompé d'adresse IP... J'étais connecté sur un vieux bouzin qui servait à faire du dev et non pas sur le serveur de prod.
10litres de sueur et 4h de perdues parceque je me suis précipité bêtement sans m'assurer de là ou j'étais.
Ca alors, cela veut dire que dans le code php ils font un
partenaires_$LANG.gif ?
Ca n'est pas précisé comme étant une grosse faille de sécurité? Hein? les pros? qu'est ce qui se passe si je met
LANG=plop";system("cat /etc/passwd");hop ? Hein? c'est pas une faille aussi grosse?
Une petite soeur de 27 ans qui va utiliser du nunux, mais elle est célibataire au moins ? :D
Ahhh, ça la regarde, mais tu te doutes bien que je ne l'avouerai jamais publiquement sur un forum. J'aurais bien trop peur qu'un geek passant par là n'aille lui proposer des cours de nain ternet ;)
Et sinon, concernant la remarque que j'ai pu voir dans de nombreux posts: Avec un dégroupage total, tu n'as pas d'abonnement FT à payer tous les mois. Il faut juste ouvrir la ligne.
bah oui, mais elle n'a même pas d'arrivée de cable de téléphone dans son appartement. Le néant. Il faut donc qu'elle demande a FT de cabler son appart, puis éventuellement de changer d'opérateur après. Enfin, c'est ce que lui ont dit les opérateurs. D'ou le surcout non négligeable pour obtenir une internet-box. Enfin, on s'égare du topic, là.
Merci, à tous, je vais lui proposer la solution eeePC + écran/clavier/souris, ça devrait le faire.
Ok, mais le problème du portable c'est le suivant:
-il faut que je lui fasse une distrib ad-hoc, ce qui prend du temps.
je lui met quoi? une ubuntu? une slack? une mandriva?
-elle n'aura pas l'accès au net, donc ça coute encore plus cher, ouverture de ligne chez FT, inscription chez le FAI etc.. les lignes 3G classiques, c'est 70euros par mois en vachement limité.
Le eeePC, finalement, c'est une distrib neuneu-proof, et elle a internet out-of-the-box pour pas plus cher qu'une box.
Ah oué, mais le but, c'est que justement elle bidouille pas du tout. La distro de base pour surfer sur le ouaibe, envoyer des mails.
D'ici peu elle me parlera de MSN, mais y'a déjà ce qui faut.
par contre, pour le coup du clavier et de l'ecran externe, ça donne quoi? Toujours en 800x480? ou la résolution monte?
Ah bah tiens, depuis que je suis passé sous firefox 2.0.0.12 plus moyen de consulter mes données en ligne.
J'ai un message qui me dit d'activer les cookies de session, ce qui est fait.
Le premier lien qui mène vers l'aide indique comment faire sous IE, le second lien emmène vers une 404.
Ne dites surtout pas à ma mère que je suis informaticien, elle croit que je suis pianiste dans un bordel.
A part ça, je ne dis jamais non plus que je suis informaticien; il est plus simple de dire "je travaille sous linux dans les réseaux". Le pauvre gus qui pensait te demander de l'aide ne comprend meme pas ce que tu lui dis, donc pour pas passer pour un con, il se tait. Et s'il s'entete, tu peux en rajouter des couches
-ah? Mais j'ai un problème avec word, etc...
-Mais mon garçon, ça c'est de la bureautique, et ça j'y connais rien
-ah? Mais pourtant sous windows, je...
-Mais je n'utilise pas windows, je fais du réseau
-Parceque dans voisinage réseau, je...
-Mais tu me parles de netbios et je ne travaille qu'en IPv4, tu n'es pas en IPv6 a tout hasard? non? oui? tu sais pas? donc la, je ne sais pas
-Et je...
-mais non, le vmsplice du kernel ne routera pas la BdD transactionnelle quand la hashtable mémoire est en ring0 du paravirtualisateur, voyons, c'est évident! Laisses moi plutôt parler à mademoiselle à ta gauche, hein.
etc..
Sinon, sur une plus grande échelle contre les DRM.
Systématiquement, quand vous allez à la FNAC, virgin, etc.. tous ceux qui vendent des CD, faites ça:
Avec vos courses, repérez des CD marqués "copy protected" ou "DRM", etc..
Arrivés à la caisse, faites mine de vous rendre compte au moment de payer que:
-oh! mais j'avais pas vu, ce CD est protégé.
Faites une esclandre (enfin pas trop quand meme), signalez à vos voisins de la file d'attente que ces CD sont pourris, illisibles, que le remboursement ne fonctionne pas, etc. Ramenez les CD au rayon, demandez au vendeur des trucs sans DRM (peu importe que vous les preniez ou pas, hein, le but consiste juste à faire du bruit).
Puis achetez ce que vous vouliez acheter.
Si nous sommes des milliers à le faire, ça remontera forcément aux oreilles des décideurs.
Dans le linux mag du mois dernier, il y avait une methode qui ressemblait étrangement à cette possibilité:
on planque dans une partition une seconde partition, et hop, indétectable.
Trucrypt, c'est mieux, ou moins bien que ce que fait linux par défaut?
alors qu'il n'y a pas de port ethernet? Je n'ai jamais tenté le netboot via wifi, mais ca doit etre relativement acrobatique :-)
Si l'idée de rendre le lecteur optique externe n'est pas nouvelle (voir les SONY Vaio de 2001), ne pas le fournir en standard avec la machine lors de l'achat en est une autre ! Il faut ajouter 99$ à l'ardoise déjà salée pour bénéficier du lecteur...c'est proprement scandaleux...
Oui mais c'est toujours le cas avec Apple. Tout les portables ont eu ca. Pas de modem? zou, xxx$ en plus. Pas de cable sortie video -> VGA et hop, portefeuille encore. etc, etc..
Pour pallier a ce probleme, j'utilise un petit hack.
Je crée un répertoire /Applications
Dans ce répertoire, un lien vers xpdf, vers mplayer, vers openoffice, etc..
Dans mon répertoire perso, un fichier gtk-bookmarks
$ cat .gtk-bookmarks
file:///Applications Applications
file:///usr/src src
file:///home/share/Musique Musique
Ce qui permet dans la boite de dialogue GTK un point d'entree direct vers
le repertoire de mon choix.
Soit ouvrir avec... et je clique sur Application, et la j'ai la dizaine d'applis utile.
Soit enregistrer sous... et j'ai soit un lien vers mon programme source, soit
vers des activites, euh, culturelles.
L'avantage, c'est que cela fonctionne avec n'importe quelle boite de dialogue basée sur GTK.
Je vais voir, alors tu mets:
boot=/dev/sdb
disk=/dev/sdb
bios=0x80
root=/dev/hda1
delay=20
vga=normal
Je vais retourner voir avec mon autre carte flash ce que ca donne.
Il faut peut-etre que je retourne creuser du cote du parametre bios=. Le root= doit etre inutile à ce point du lilo.conf (à vérifier), le delay=20 me surprend. Puisque le noyau boote par defaut et que tu n'as pas active l'affichage de lilo via le port série, ca fait juste attendre 2s..
Amusons nous aux dépends des utilisateurs de lilo. Tu utilises lilo? Alors avant de taper ces commandes, assures toi de bien les comprendre:
su -
cd /boot
mv bzImage a (holy crap! plus de noyal)
cp a bzImage (ah, le voila de nouveau)
shred a (bah oui, a quoi sert ce vieux fichier a pourri?)
reboot
et boum! a pu reboot. OMG! La question est: et pourquoi donc? Le noyau est toujours situé dans /boot pourtant? Mais que s'est il passé? (hint: la meme manip avec grub se passe comme un charme).
mais bon tu as l'air d'avoir toujours raison.
he non. Et a ce niveau la, linux c'est une tres bonne ecole de l'humilite. Quand je vois ce qu'il me reste a apprendre face au peu que je sais, ca donne le vertige.
Donc je suis toujours preneur de lecons a ecouter. Et si quelqu'un a la solution pour lilo, et le deplacement de disque, je prends.
les chemins vers le noyau et initrd sont sous la forme /boot/bzimage /boot/initrd donc peu importe la partition sur laquelle cela se trouve. puis il suffit de lui dire de s'installer sur /dev/hdc c'est boot=/dev/hdc (de memoire)
certes, certes..
image = /boot/bzimage
label = linux
root = /dev/hda1 (et non pas hdc1 boulet)
Sauf que même écrit /dev/hdc1 ou même, soyons fou /dev/hdd42, le but consise à lancer un noyau. Au pire, tu te choppes un méchant kernel panic car la racine n'est pas la bonne, mais ça se corrige sur la ligne de commande lilo.
Mais bah, mon problème c'est que le noyau n'est pas lancé. Si tu commences a réfléchir à mettre la charrue avant les baufs, on est pas rendu.
ta carte se transforme en hda lors du boot, ce n'est pas grave puisque /boot/bzimage seras toujours /boot/bzimage quelque soit le /dev/hdx. de plus tu as anticiper le deplacement de la carte en mettant root = hda1 et non pas hdc1
Félicitation, si tant est que ta méthode eu marché, tu viens de vautrer le boot. Le système n'est _pas_ sur /dev/hda1 (la carte flash qui n'a qu'un noyau et un initrd copié dessus), mais sur /dev/hdb1. La carte flash n'est là que pour booter un noyau. Le système est sur le disque dur.
De plus lilo n'utilise le filesystem que lors de son installation dans le MBR pour trouver le noyau. Apres, /boot n'a plus aucune signification pour lui lors du boot. Enfin, ca reste du detail.
L'essentiel reste que j'ai testé différents trucs comme ça, et c'est niet, ca ne boute pas.
Pas de bol, hein. Il doit y avoir une subtilité qui m'échappe.
en fait tu complique trop, l'utilisation de qemu le prouve.
Donnes moi une autre méthode pour valider mon installation à cette instant.
Il aurait au contraire été largement plus simple de faire toute l'installation de cette manière, mais l'enchainement des étapes en a décidé autrement.
# Le blog de mr rogard
Posté par octane . En réponse à la dépêche Légalisation riposte graduée / spyware : Le Monde.fr confirme. Évalué à 2.
http://www.sacd.fr/blogs/rogard/?p=305#comments
Alors que le nombre de commentaires du blog de mr Rogard oscille entre un zéro absolu et pas grand chose, son article prend 24 commentaires à l'heure d'aujourd'hui.
Ses arguments (mais est-ce des arguments?) se font démonter.
# Le blog du SACD
Posté par octane . En réponse à la dépêche Légalisation riposte graduée / spyware : Le Monde.fr confirme. Évalué à 10.
C'est énorme. Alors comme ça la contrefaçon numérique porte atteinte à la liberté de création? Je ne sais pas ce que ce monsieur fume, mais j'aimerai qu'il partage.
Les gens sont libres de créer. Toujours. Partout, en tout temps et en tout lieu. Je chante une chanson pour endormir le petit cousin, mon beau-frère dessine sur un cahier, ma mère danse, mon voisin dessine des maisons. Qu'il y ait de la contrefaçon numérique ou pas.
C'est un premier point. Absolument _rien_ ne peut empêcher la liberté de création.
Quel est le problème alors? Le problème est simple, c'est que suite à la liberté de création, des charmants personnages appelés financiers sont arrivés. Ils se sont rendus compte que la création pouvait se vendre. Et se vendre cher. Concernant la musique, ils ont bâtis des empires financiers sur la duplication et reproduction des œuvres musicales. Or, internet a démoli leur business plan. Il est possible aujourd'hui quasiment gratuitement de dupliquer à l'infini une oeuvre musicale. Sauf que ces messieurs voient ça comme une perte énorme d'argent.
Plusieurs points restent à débattre, comme:
-est ce que la duplication gratuite des oeuvres nuit elles à leurs interets?
-est ce que la duplication gratuite des oeuvres nuit elles aux interêts des artistes?
Mais ces deux points sont immédiatement écartés. Le coupable est trouvé, il s'agit d'internet, il faut le faire payer. Le mobile, la perte financière de ses sociétés.
Il est cynique d'essayer de chercher quelle est la valeur de nos libertés individuelles face à l'industrie du disque. N'oubliez pas, ces gens là veulent protéger _leur_ marché, ils veulent protéger _leurs_ interêts. Les artistes n'ont jamais eu besoin des majors pour créer.
Je dis bien créer, mais les artistes doivent bien vivre. De la même manière qu'un développeur de LL doit manger à la fin du mois, un artiste ne doit pas mourir de faim.
Les majors proposent un cadre aux artistes, en leur fournissant de quoi survivre (en les payant) et les artistes fournissent de la musique. Cette relation n'est pas figée, et je me demande qui est le plus dépendant de l'autre...
Pour finir, je dirais qu'il est très intéressant d'imaginer un monde dans lequel les majors n'existent plus. Mais une fois de plus, ces majors veulent nous faire croire qu'elles sont essentielles, que sans elle, les artistes ne créent plus, et qu'elle disent la vérité:
Pour sa part, la SACD défendra ses convictions en respectant celles des autres mais en n’hésitant pas, à chaque fois que cela s’avérera nécessaire, à rétablir la vérité.
La vérité, ou leur vérité?
[^] # Re: Pop-corn
Posté par octane . En réponse au journal Iron Man. Évalué à 5.
* Hollywood, les block-busters débiles.
Alors je propose l'adaptation de Tetris en Film! Si.
http://www.youtube.com/watch?v=VE_1KlWFJyA
(et oui, un metatroll se niche dans l'URL: flash capucepalibre ou bien non?)
# Du précuit, ou du manuel
Posté par octane . En réponse au journal à la recherche de l'interface d'administration perdue. Évalué à 2.
-reprendre de l'existant
-en libre
-en proprio
-inventer quelque chose
Par exemple lorsque tu dis:
En plus quand ces mêmes admins doivent pouvoir gérer certains trucs (rajouter une adresse mail, ajouter une base de donnée), là ce n'est plus possible de tout se faire à la main.
Par exemple : comment admin-machin peut il ajouter les adresse toto@machin.com et titi@machin.com alors que ces trois comptes sont vu sous linux comme 3 comptes utilisateurs.
Le rajout des compte toto et titi exigent un accès root, de plus le serveur étant mutualisé, il faut les créer comme utilisateurs virtuels pour le seveur de mail, ce qui se configure également en root...
Une solution consiste à utiliser une BdD. J'ai mis en oeuvre un système de mail multidomaine, multiutilisateur.
La création de domaines, de boites mails, d'alias, etc.. est entièrement géré via la BdD. Ton client n'a pas besoin des droits root.
Tu peux ensuite pluguer sur une BdD des mécanismes de virtual host. Il ne reste qu'a ajouter une correspondance dans un DNS, et hop.
En trois INSERT dans la base tu crées un user, et cet utilisateur crée en quelques INSERT un admin qui va avoir son nom de sous-domaine, un site web, et son domaine mail, puis ses users avec d'autres INSERT.
L'intégralité de la solution se gère par l'accès à une BdD, et là, tu peux tuner finement les droits d'accès, et les users n'ont jamais droit à root.
C'est libre, c'est configurable à l'envie, mais c'est à toi de faire tout à la main, ce qui peut être long.
Pour les solutions clés en main, je suis tombé l'autre jour sur VHCS http://www.vhcs.net/new/ qui m'a l'air pas mal et que je n'ai pas testé.
Pour le proprio, je n'en ai aucune idée :)
[^] # Re: Comment nous aider
Posté par octane . En réponse à la dépêche OpenToken : un projet de token d'authentification matérielle ouvert. Évalué à 4.
Voici mes deux euro-cents sur l'authentification forte et les tokens matériels:
Question: comment garantir de la crypto forte?
-> première sous question: que veut on protéger?
Réponse: 3 grandes familles existent: le chiffrement, la signature, et l'authentification.
Ces trois familles reposent sur le mécanisme de clé privée / clé publique. Ce concept de clé privée /publiques est celui qui nous intéresse ici. Associé aux clés publiques, un certificat qui ajoute des informations comme l'adresse mail du possesseur de la clé publique, des dates de validité, etc..
La clé privée est privée et ne doit être connue que du possesseur de la clé. Le certificat (et la clé publique associée) sont publics, (ie diffusables partout)
Cette crypto est communément appelée PKI, et la PKI correspond à une mise en oeuvre de ces mécanismes. De très nombreuses RFC définissent ce qu'il faut faire pour construire une PKI. Dans le logiciel libre openssl a tout ce qu'il faut pour batir une PKI.
En gros:
-on génére une autorité (un couple de clé et certificat).
-On génére des couples clés privés/publics pour chacun de nos utilisateurs.
-Les certificats sont signés par l'autorité (comprendre authentifiés par l'autorité)
Puis, toute personne qui souhaite utiliser notre PKI doit agréer l'autorité, en gros faire confiance a cette autorité, et par la, faire confiance aux certificats signés par celle ci.
Donc un user peut récuperer un certificat quelquepart, vérifier son authenticité, puis l'utiliser.
Ca, c'est pour la théorie. Je passe les mécanismes de révocation de certificats, de mécanisme permettant l'authent, la signature et le chiffrement.
Bref.
Venons en au point qui nous intéresse, les cartes à puce (ou token USB).
Un point crucial concernant ces PKI concerne la clé privée. Si elle est diffusée, forcément, elle ne sert à rien.
Et survient un paradoxe: comment être persuadé que la clé privée ne fuite jamais dans aucun cas alors qu'il faut l'utiliser?
La solution réside dans l'utilisation d'une carte à puce. Une carte à puce est un ordinateur complet, et donc, la clé privée ne sort jamais de la carte à puce. Toutes les opérations crypto sont réalisées par la carte à puce, depuis le tirage des clés, jusqu'aux opérations de chiffrement/déchiffrement. La clé privée est donc parfaitement protégée, et la carte à puce elle même peut protéger des brute force en détruisant la clé au bout de trois tentatives de code PIN.
C'est donc génial (du point de vue crypto). Mais.
Mais tout n'est pas si évident. Et entre autre vient le point noir de la communication entre un programme local au PC et la carte à puce. Une norme de communication existe et s'appelle la norme PKCS#11. Les constructeurs de carte à puce fournissent donc un middleware (un driver, quoi) permettant de présenter une interface PKCS#11 à un programme du PC. Et ces middleware existent uniquement sous windows. Certains middleware ont existé sous linux (je pense au clés token USB rainbow ikey1000) mais sous la forme de blobs binaires, attachés à une certaine version de noyau.
Bref:
la solution serait effectivement d'implémenter:
-premièrement d'une couche PKCS#11
-deuxièmement du pilote spécifique pour une carte particulière
-troisièmement une couche applicative (un add-on pour openssl ? )
[^] # Re: Mise au point
Posté par octane . En réponse au journal Migration foirée. Évalué à 5.
Je suis d'accord; quelle a été la plus belle bêtise que vous avez faite?
Je démarre dans le mode <mavie>:
On me prévient que le site web a des problèmes. Je me connecte en vitesse en ssh, et effectivement tout est en vrac.
Des vieilles versions du site qui trainent, des vieux trucs, des services zarb qui tournent, une arborescence qui a été modifié, le souk complet.
Sueurs.
Je vais chercher des backups, je remonte le bin's, en plus le serveur rame comme pas permis, le service ftp est ouvert, le service smtp, j'espère qu'on s'est pas fait pirater. Je me rends compte que la base SQL est en vrac aussi, je remonte le minimum, je me déchire, j'arrive a faire un truc qui tourne sur trois pattes bien crado, mais bon.
Et là, je me rends compte que je me suis trompé d'adresse IP... J'étais connecté sur un vieux bouzin qui servait à faire du dev et non pas sur le serveur de prod.
10litres de sueur et 4h de perdues parceque je me suis précipité bêtement sans m'assurer de là ou j'étais.
[^] # Re: Des infos du coté de leurs brevets ...
Posté par octane . En réponse au journal Société de recherche de contenu protégé sur internet. Évalué à 3.
http://www.advestigo.com/advestigo_technologie.php?men=1&(...)
Je n'ai pas pu m'empêcher de taper:
http://www.advestigo.com/advestigo_technologie.php?men=1&(...)
quelle ne fut pas ma surprise en voyant des liens:
http://www.advestigo.com/Images/advestigo/partenaires_ENU.gi(...)
Ca alors, cela veut dire que dans le code php ils font un
partenaires_$LANG.gif ?
Ca n'est pas précisé comme étant une grosse faille de sécurité? Hein? les pros? qu'est ce qui se passe si je met
LANG=plop";system("cat /etc/passwd");hop ? Hein? c'est pas une faille aussi grosse?
(rappel le piratage de site web est interdit)
[^] # Re: Re:
Posté par octane . En réponse au journal EEEPC pour ma petite soeur. Évalué à 1.
Ahhh, ça la regarde, mais tu te doutes bien que je ne l'avouerai jamais publiquement sur un forum. J'aurais bien trop peur qu'un geek passant par là n'aille lui proposer des cours de nain ternet ;)
Et sinon, concernant la remarque que j'ai pu voir dans de nombreux posts:
Avec un dégroupage total, tu n'as pas d'abonnement FT à payer tous les mois. Il faut juste ouvrir la ligne.
bah oui, mais elle n'a même pas d'arrivée de cable de téléphone dans son appartement. Le néant. Il faut donc qu'elle demande a FT de cabler son appart, puis éventuellement de changer d'opérateur après. Enfin, c'est ce que lui ont dit les opérateurs. D'ou le surcout non négligeable pour obtenir une internet-box. Enfin, on s'égare du topic, là.
Merci, à tous, je vais lui proposer la solution eeePC + écran/clavier/souris, ça devrait le faire.
[^] # Re: Attendre un peu ?
Posté par octane . En réponse au journal EEEPC pour ma petite soeur. Évalué à 2.
-il faut que je lui fasse une distrib ad-hoc, ce qui prend du temps.
je lui met quoi? une ubuntu? une slack? une mandriva?
-elle n'aura pas l'accès au net, donc ça coute encore plus cher, ouverture de ligne chez FT, inscription chez le FAI etc.. les lignes 3G classiques, c'est 70euros par mois en vachement limité.
Le eeePC, finalement, c'est une distrib neuneu-proof, et elle a internet out-of-the-box pour pas plus cher qu'une box.
pour le flash, ça ne le lit pas à 600MHz?
[^] # Re: quelques réponses
Posté par octane . En réponse au journal EEEPC pour ma petite soeur. Évalué à 1.
D'ici peu elle me parlera de MSN, mais y'a déjà ce qui faut.
par contre, pour le coup du clavier et de l'ecran externe, ça donne quoi? Toujours en 800x480? ou la résolution monte?
[^] # Re: Lien indirect
Posté par octane . En réponse au journal Je fais déjà la vaisselle ... et vous ?. Évalué à 5.
Bah elle ne court pas derrière moi dans la rue ne léchant le trottoir ou j'ai posé mes pas.
Pas au point, ta méthode.
[^] # Re: Il y a aussi la Banque postale
Posté par octane . En réponse au journal [HS] Banques. Évalué à 2.
J'ai un message qui me dit d'activer les cookies de session, ce qui est fait.
Le premier lien qui mène vers l'aide indique comment faire sous IE, le second lien emmène vers une 404.
C'est arrivé à d'autres gens?
# La tribune moulesque
Posté par octane . En réponse au journal Page d'accueil HS. Évalué à 2.
[16:09:18] Putifuto
- 16:08:34 oui, on reboote la matrice de templeet
Je pense que c'est lié, et que c'est reviendu.
# Ne dites pas à ma mère...
Posté par octane . En réponse au journal [ Un peu HS ] Et vous, vous dites quoi lorsqu'on vous demande ?. Évalué à 5.
A part ça, je ne dis jamais non plus que je suis informaticien; il est plus simple de dire "je travaille sous linux dans les réseaux". Le pauvre gus qui pensait te demander de l'aide ne comprend meme pas ce que tu lui dis, donc pour pas passer pour un con, il se tait. Et s'il s'entete, tu peux en rajouter des couches
-ah? Mais j'ai un problème avec word, etc...
-Mais mon garçon, ça c'est de la bureautique, et ça j'y connais rien
-ah? Mais pourtant sous windows, je...
-Mais je n'utilise pas windows, je fais du réseau
-Parceque dans voisinage réseau, je...
-Mais tu me parles de netbios et je ne travaille qu'en IPv4, tu n'es pas en IPv6 a tout hasard? non? oui? tu sais pas? donc la, je ne sais pas
-Et je...
-mais non, le vmsplice du kernel ne routera pas la BdD transactionnelle quand la hashtable mémoire est en ring0 du paravirtualisateur, voyons, c'est évident! Laisses moi plutôt parler à mademoiselle à ta gauche, hein.
etc..
[^] # Re: Il faut menacer
Posté par octane . En réponse au journal Ébauche du projet de loi de lutte contre le téléchargement illégal. Évalué à 2.
Systématiquement, quand vous allez à la FNAC, virgin, etc.. tous ceux qui vendent des CD, faites ça:
Avec vos courses, repérez des CD marqués "copy protected" ou "DRM", etc..
Arrivés à la caisse, faites mine de vous rendre compte au moment de payer que:
-oh! mais j'avais pas vu, ce CD est protégé.
Faites une esclandre (enfin pas trop quand meme), signalez à vos voisins de la file d'attente que ces CD sont pourris, illisibles, que le remboursement ne fonctionne pas, etc. Ramenez les CD au rayon, demandez au vendeur des trucs sans DRM (peu importe que vous les preniez ou pas, hein, le but consiste juste à faire du bruit).
Puis achetez ce que vous vouliez acheter.
Si nous sommes des milliers à le faire, ça remontera forcément aux oreilles des décideurs.
Et les DRM disparaitront d'eux meme.
[^] # Re: sténographie
Posté par octane . En réponse au journal TrueCrypt 5.0 met les manchots à l'honneur !. Évalué à 1.
on planque dans une partition une seconde partition, et hop, indétectable.
Trucrypt, c'est mieux, ou moins bien que ce que fait linux par défaut?
[^] # Re: Le rat porc avec DLFP ?
Posté par octane . En réponse au journal Une nouvelle révolution dans l'informatique et électronique grand public !. Évalué à 4.
alors qu'il n'y a pas de port ethernet? Je n'ai jamais tenté le netboot via wifi, mais ca doit etre relativement acrobatique :-)
Si l'idée de rendre le lecteur optique externe n'est pas nouvelle (voir les SONY Vaio de 2001), ne pas le fournir en standard avec la machine lors de l'achat en est une autre ! Il faut ajouter 99$ à l'ardoise déjà salée pour bénéficier du lecteur...c'est proprement scandaleux...
Oui mais c'est toujours le cas avec Apple. Tout les portables ont eu ca. Pas de modem? zou, xxx$ en plus. Pas de cable sortie video -> VGA et hop, portefeuille encore. etc, etc..
[^] # Re: Et pour choisir l'application de son choix ?
Posté par octane . En réponse au journal Firefox et linux. Évalué à 10.
Je crée un répertoire /Applications
Dans ce répertoire, un lien vers xpdf, vers mplayer, vers openoffice, etc..
Dans mon répertoire perso, un fichier gtk-bookmarks
$ cat .gtk-bookmarks
file:///Applications Applications
file:///usr/src src
file:///home/share/Musique Musique
Ce qui permet dans la boite de dialogue GTK un point d'entree direct vers
le repertoire de mon choix.
Soit ouvrir avec... et je clique sur Application, et la j'ai la dizaine d'applis utile.
Soit enregistrer sous... et j'ai soit un lien vers mon programme source, soit
vers des activites, euh, culturelles.
L'avantage, c'est que cela fonctionne avec n'importe quelle boite de dialogue basée sur GTK.
[^] # Re: toujours plus loin pour obtenir le chiffrement de toutes les partiti
Posté par octane . En réponse à la dépêche Revue de presse - janvier 2008. Évalué à 1.
[^] # Re: Un peu facile...
Posté par octane . En réponse au journal Youpi !!!. Évalué à 10.
[^] # Re: bon
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 1.
boot=/dev/sdb
disk=/dev/sdb
bios=0x80
root=/dev/hda1
delay=20
vga=normal
Je vais retourner voir avec mon autre carte flash ce que ca donne.
Il faut peut-etre que je retourne creuser du cote du parametre bios=. Le root= doit etre inutile à ce point du lilo.conf (à vérifier), le delay=20 me surprend. Puisque le noyau boote par defaut et que tu n'as pas active l'affichage de lilo via le port série, ca fait juste attendre 2s..
[^] # Re: bon
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 0.
Si, tout a fait. Mais le message complet est:
"amusons nous aux depends des utilisateurs de lilo" puis "pas de reboot".
# logiciel open source
Posté par octane . En réponse au journal Le logiciel Open Source qui me donne du plaisir ..... Évalué à 1.
-mplayer
-mame
Mais posé différemment, quel est le logiciel qui vous manque le plus?
je citerais pour moi:
-irfan view
[^] # Re: bon
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 1.
eh non..
Amusons nous aux dépends des utilisateurs de lilo. Tu utilises lilo? Alors avant de taper ces commandes, assures toi de bien les comprendre:
su -
cd /boot
mv bzImage a (holy crap! plus de noyal)
cp a bzImage (ah, le voila de nouveau)
shred a (bah oui, a quoi sert ce vieux fichier a pourri?)
reboot
et boum! a pu reboot. OMG! La question est: et pourquoi donc? Le noyau est toujours situé dans /boot pourtant? Mais que s'est il passé? (hint: la meme manip avec grub se passe comme un charme).
mais bon tu as l'air d'avoir toujours raison.
he non. Et a ce niveau la, linux c'est une tres bonne ecole de l'humilite. Quand je vois ce qu'il me reste a apprendre face au peu que je sais, ca donne le vertige.
Donc je suis toujours preneur de lecons a ecouter. Et si quelqu'un a la solution pour lilo, et le deplacement de disque, je prends.
[^] # Re: bon
Posté par octane . En réponse au journal Soekris sous linux. Évalué à 1.
tu m'en diras tant.
les chemins vers le noyau et initrd sont sous la forme /boot/bzimage /boot/initrd donc peu importe la partition sur laquelle cela se trouve. puis il suffit de lui dire de s'installer sur /dev/hdc c'est boot=/dev/hdc (de memoire)
certes, certes..
image = /boot/bzimage
label = linux
root = /dev/hda1 (et non pas hdc1 boulet)
Sauf que même écrit /dev/hdc1 ou même, soyons fou /dev/hdd42, le but consise à lancer un noyau. Au pire, tu te choppes un méchant kernel panic car la racine n'est pas la bonne, mais ça se corrige sur la ligne de commande lilo.
Mais bah, mon problème c'est que le noyau n'est pas lancé. Si tu commences a réfléchir à mettre la charrue avant les baufs, on est pas rendu.
ta carte se transforme en hda lors du boot, ce n'est pas grave puisque /boot/bzimage seras toujours /boot/bzimage quelque soit le /dev/hdx. de plus tu as anticiper le deplacement de la carte en mettant root = hda1 et non pas hdc1
Félicitation, si tant est que ta méthode eu marché, tu viens de vautrer le boot. Le système n'est _pas_ sur /dev/hda1 (la carte flash qui n'a qu'un noyau et un initrd copié dessus), mais sur /dev/hdb1. La carte flash n'est là que pour booter un noyau. Le système est sur le disque dur.
De plus lilo n'utilise le filesystem que lors de son installation dans le MBR pour trouver le noyau. Apres, /boot n'a plus aucune signification pour lui lors du boot. Enfin, ca reste du detail.
L'essentiel reste que j'ai testé différents trucs comme ça, et c'est niet, ca ne boute pas.
Pas de bol, hein. Il doit y avoir une subtilité qui m'échappe.
en fait tu complique trop, l'utilisation de qemu le prouve.
Donnes moi une autre méthode pour valider mon installation à cette instant.
Il aurait au contraire été largement plus simple de faire toute l'installation de cette manière, mais l'enchainement des étapes en a décidé autrement.