oinkoink_daotter a écrit 1687 commentaires

Les risques que je ne couvre pas, j'en suis bien conscient merci. J'ai maint et maint fois répété qu'une sauvegarde locale ne peut se concevoir qu'avec une sauvegarde distante. Donc tous les risques cités sont déjà couvert par la sauvegarde distante.

Ben du coup, si j'ai bien compris, de ça et de ton post plus haut, en fait, tu as aussi une sauvegarde distante, même si moins régulière ?
Je n'avais pas compris, ça. Du coup, il n'y a plus de sujet.

C'est exactement le genre de réaction épidermique, ou du moins très tranchée que j'obtiens quand je parle de ce sujet. C'est parfois difficile d'avoir une argumentation posée dans ce cas là, ce qui est dommage

Ben dans la mesure où tu as supprimé de ta citation tout ce qui n'allait pas dans ton sens (ce qui est après "importance") et qui montre des risques que tu ne couvres pas, je ne peux pas grand chose pour toi.

Cela dit, le post de gle< plus haut est un bon détail. Après, c'est ton modèle de menace et surtout tes données. Your data, your rules.

Pas compris ça comme ça.

Il me semblait que ce débat était tranché depuis la fin des années 80, mais on dirait que non.

La politique de backup dépend toujours de la criticité des données à sauvegarder et des risques qui pèsent dessus. Sauf à considérer que tes données n'ont aucune importance ou qu'elles ne seront jamais les victimes d'une tragique erreur humaine, d'un accident climatique malheureux ou d'une alim de PC perverse qui embarque des devices dans sa mort, il faut une sauvegarde distante, ou, à tout le (très très) moins une sauvegarde de temps en temps sur disque amovible, gardée hors ligne.

Normalement, dans la plupart des cas, l'analyse de risque dit ça.

Perso, mon NAS est backuppé (chiffré) toutes les nuits chez Hubic, car je suis attaché à mes photos.

(qui utilise hélas des ARM)

Pourquoi "hélas" ?

il devient du même coup inutile de farfouiller dans les données puisqu'on n'a aucun moyen de séparer le vrai du faux.

Apparemment, il y a pas mal de mails(sans intérêt particulier) signées par DKIM. Cela sont donc très probablement vrais (mais toujours sans intérêt).

Et ça donne des articles tonitruants comme celui-ci, qui cherche à montrer le "décalage entre la communication & cuisine électorale".

Perso je trouverais pas mal qu'on fasse comme sur facebook : afficher la liste de qui a Plusser/Moinsser […]

Alors, d'abord, Facebook ne permet pas de plusser et de moinsser. Il permet uniquement d'aimer en permettant d'indiquer une vague émotion (adore, rire, étonnement, tristesse et colère). Et c'est délibéré car tout doit être positif sur Facebook. Et c'est uniquement pour cela que la liste des gens qui a "aimé" est affichée.

histoire que les gens assument et qu'on repère les haters :P

Super bonne idée ;-) (-: :-P …
…

Et tu en ferais quoi, au juste ?

Au départ je voulais pas que ça parte en troll

Le problème des analogies c'est qu'elles ne sont valables que quand elles comparent des choses comparables.
Désolé, mais non, on ne peut pas comparer Windows à une voiture, des virus à de la pluie, et des failles à des fuites dans les joints (surtout quand l'utilisateur moyen s'en sert au fond d'une piscine, car dans ce cas, il aurait fallu concevoir un sous-marin, mais ce n'est pas très efficient sur la route; bref). Le faire est risquer de s'exposer à ses limites simplistes (qui marchent d'ailleurs a peu près aussi bien avec du logiciel libre, car tu n'as même pas de garagiste, mais ouf, tu as une clef de 12).

Le fait est que l'on ne sait pas vraiment faire de logiciels parfaits et certainement pas sur des trucs aussi larges en périmètre qu'un OS généraliste (un Linux, un Windows, ou autre). On n'y arrive déjà pas avec des trucs aussi "simples" que des hyperviseurs (kikoo, Xen, c'est à toi que je pense)

c'est trés sérieux imaginé qu'il y ait des vies humaines perdu à cause d'un probleme informatique comment les familles de victimes réagirai si on leur disait qu'il est impossible de se retourner contre les concepteurs du logiciel incriminé ?

Ça par contre, en France, c'est bordé par la jurisprudence, et depuis longtemps.

La réponse est là, encore un blaireau qui a installé Linux pour la première fois la semaine dernière et qui trouve ça trop cool de faire son rebelz sur le net.

Oupa. Ça peut aussi être un nième multi d'un troll local.

On n'y accède pas grâce à dconf-editor ?

#àtrolltrolletdemiledredicestpermis

déso pas déso /o\

un peu comme notre estrosi et notre loi anti cumul ?

Tu veux dire le premier adjoint délégué à la sécurité, aux ressources humaines, aux finances, aux transports, aux travaux, à la voirie et au stationnement ? :)

Ca doit être pour ça aussi qu'ils ont une chaîne YouTube, une page Facebook, et des comptes twitter. J'imagine aussi qu'ils utilisent github.

Alors, oui, mais non.

Autant il est tout à fait possible de trouver un hébergement web/mail qui tienne la route et même avec le nom de domaine sérieux qui va avec dans la Roubaix Valley, autant c'est beaucoup plus difficile de trouver un concurrent à Facebook et Twitter où il y ait des gens à convaincre, voire même des gens tout court. A part éventuellement Viméo/Dailymotion/Pornhub (et encore, je n'ai pas les stats de vues en France) pour le concurrent à youtube, pour le reste, je ne vois pas.

Parce que sinon, quitte à jeter l'argent par les fenêtres, autant contribuer à mon micro parti, le Loutrothon.

Il a annoncé se retirer de la politique, et il a effectivement démissionné de son parti, l’UKIP (dont il était le leader).

Mais pas du parlement européen, parce que faut pas déconner avec le pognon tout de même.

Elle a donc fait 5 fois moins que le minimum prévu par la loi.

J'ai du mal à comprendre.
Il n'y a pas 50 mille qualifications pour (tentative de) homicide en France :

• L'assassinat (= meurtre prémédité), puni par l'article 221-3 du CP entre 0 et perpétuité (plus éventuellement rétention de sûreté) de gniouf. C'est un crime => assises.
• Le meurtre (=tuer quelqu'un de manière délibérée, par exemple sous le coup de l'émotion), puni par l'article 221-1 entre 0 et 30 ans de gniouf. C'est un crime => assises. Il y a des circonstances aggravantes -article 221-4- qui te font grimper à perpétuité + rétention de sûreté.
• La boulette (=tuer quelqu'un sans intention de le faire) est quant à elle punie au 221-6, entre 0 et 3 ans (5 ans si manquement à une obligation légale ou réglementaire), je ne parle pas des amendes. C'est un délit => correctionnelle. (je passe le truc spécifique sur les violences ayant entraîné la mort, les empoisonnements ou les incitations)

Dans les deux premiers cas, les tentatives sont punies des mêmes peines.
Dans le cas des délits, (ici cela n'a pas de sens), les tentatives sont punies si elles sont spécifiquement prévues.
(article 221-4 du CP)

Je ne vois donc pas comment une requalification en "tentative de" a pu changer quoi que ce soit sur la cour compétente ou sur une éventuelle peine mini qui à ma connaissance n'existe pas.

Tu devrais peut-être envoyer l'info à NextINpact, ça fera du bruit.

Plutôt Troy Hunt (pour la partie communication en clair, surtout si tu peux essayer des ID au hasard et récupérer des data sans les credentials qui vont bien).

C'est le même login si il est dispo (et c'est pas gagné)

Ça fait quand même des années que le grand public est informé des risques du Net. Avec tous les articles et toutes les émissions télé sur les méchants pirates tu penses que les gens n'ont pas intégré le fait qu'il faut se méfier et qu'ils pensent toujours qu'il n'y a aucun risque ?

Les gens n'ont toujours pas vraiment compris qu'il ne fallait pas exécuter n'importe quoi n'importe comment sur leur PC, alors tu penses bien que sur les téléphones, les télés, les lave vaisselles ou les tondeuses, on est encore loin de la prise de conscience.

Mon premier post était certes un peu tongue-in-cheek. Je peux comprendre l'utilité des fonctions d'une smart-TV mais bon quand on voit que même les lave-vaisselle ont maintenant des serveurs web intégrés et sont victimes de failles de sécu (http://seclists.org/fulldisclosure/2017/Mar/63) va falloir se poser la question du rapport coût-bénéfices de ces fonctions non ?

Tout le monde dit dans la secu dans le milieu de l'IOT que cela ne pourra venir que des régulateurs. Les gens te regardent comme un alien quand tu en parles, les constructeurs se tirent la bourre à qui aura le meilleur time to market pour un prix toujours plus faible. Tu penses bien que le security by design et un semblant de MCO/MCS n'est absolument pas dans leur priorité.
T'as qu'à regarder tous les trucs qu'a fait Matthew Garrett sur les loupiottes bluetooth, c'est assez symptomatique.

Ca me dépasse mais c'est un fait :'(

J'ai la flemme de vérifier mais je pense que là, il y a quiproquo entre vous : il faut distinguer les extensions de Virtualbox lui-même, qui ne sont pas libres et fournies sous la forme binaire couverte par la PUEL (Marotte<), qui fournissent USB2,3, RDP, chiffrement des fichiers VDI, etc. et les "guest additions", à priori libres, qui servent à faire comprendre à l'OS invité qu'il est virtualisé et qu'on peut faire des trucs super cool avec (pulkomandy<).

Ce n'est pas un programme amené à être diffusé, pourquoi le mettre en OpenSource,

Là, tu mélanges tout. Ce dont parle gouttegd< ici est le principe de Kerckhoffs, qui dit que la robustesse d'un algo crypto ne doit pas reposer sur le fait qu'il est secret…
Ce qui ne veut pas dire que l'algo doit être public, mais qu'il a au moins été revu par des pairs. Et il ne me semble pas qu'il ait dit que le bouzin en question devait être mis en opensource.

il est réservé à un usage interne.

Euh non. Pas du tout. Il n'est certes pas vendu par la DGA au public, mais il est TRES utilisé dans les échanges industrie/administration tous les jours.

Il est parfois nécessaire d'envoyer des fichiers en diffusion restreinte par le bien de la messagerie internet, d'où l'utilité d'un tel programme.

Oui, encore faut-il que le soft, les algos et les protocoles mis en oeuvre soient suffisamment costauds. Puisque cela passe sur un réseau non homologué pour l'acheminer en clair (l'internette), il faut être sur que c'est sûr. Ce qui passe par des revues, audits, etc (et ce même s'il n'y avait que deux personnes à l'utiliser).

Cool, cela veut dire que si j'ai ton mot de passe gmail, j'ai accès à tout ?

Non, ça veut dire que si tu as mon mot de passe GMail (avec la double authent), tu as accès à des infos qui te seront utiles pour déchiffrer le disque dur de la machine que tu m'auras volé ou mes données TimeMachine sur mon disque dur à la maison.

Tu as activé la double authentification

Oui

, et tu as chiffrés les données oubliables, n'est ce pas ?

Non, car cela ne couvre que les mots de passe dont j'ai parlé plus haut. Les autres mots de passe recensés (pas loin de 200 maintenant, merci la compulsory registration :-/), eux, sont dans un coffre fort (synchronisé dans le cloud pour des raisons d'utilisabilité)

Personnellement, les comptes mails ou les stockages "dans le cloud" (surtout google et autre GAFA), c'est le dernier endroit où je stockerais des informations aussi sensibles que des mots de passes (même chiffrés par keepass..)

C'est une question de modèle de menace.

Bref, le chiffrage correspond à des besoins particuliers, et sa balance cout/bénéfice est probablement désavantageuse pour pas mal de gens.

Encore une fois, c'est tellement désavantageux qu'Apple et Microsoft (si on s'authentifie avec un compte MS) le font par défaut.

Donc oui, il y a une petite triche sur la licence et non, car un paquet de licence sont partis en fumée…

Argument douteux d'un point de vue droit des contrats, dans la mesure où dans la plupart des cas, ce sont des licences liées à la machine (et facturées en temps que tel).

… Pour une fois que je suis d'accord avec Z< …

Autre chose suicidaire : ne pas stocker ses mots de passes/passphrase dans un logiciel de stockage de mot de passe (KeePass par exemple). Quand on utilise un tel outils (dont on aura bien entendu sauvegardé les fichiers), il devient impossible d'"oublier" la passphrase de chiffrement d'un disque (ni n'importe quel autre mots de passe)

La dessus, j'ai joué la sécurité. Je stocke les données "oubliables", c'est à dire les trucs que nominalement on ne voit jamais sauf en cas de désastre (genre les mot de passe de chiffrement de TimeMachine ou les clefs de récupération de MacOS) … sur mon compte GMail.
Mon "modèle de menace" le permet (il faut la machine et la clef pour déchiffrer, ce que n'a pas le voleur du coin ; ou alors la machine seule suffit, mais dans ce cas, le fait que le backup soit dans gmail n'y change rien).

J'utilise au contraire des vrais arguments qui me sont arrivés à moi dans ma vraie vie. Traite-moi de débile si tu veux, mais j'ai l'impression que justement, j'ai essayé d'argumenter avec des exemples réels et pas des cas d'école de gusses qui ont découvert le chiffrement avant-hier.

Le chiffrement crée un risque réel de perdre des données, et l'oublier c'est débile, justement.

Oui, pour autant, est-ce nécessaire d'écrire des trucs aussi extrémistes :

Donc résultat, le chiffrement des disques, c'est une saloperie. Tu peux mettre ça en place peut-être en milieu pro où tu as toute une infrastructure derrière pour la restauration et les sauvegardes, avec des gens qui savent ce qu'ils font. Conseiller ça à un particulier, à mon avis, ça a une balance bénéfices/risques très très négative.

… C'est bien pour ça que les OS majeur d'aujourd'hui proposent de faire un backup des clefs de chiffrement, soit dans leur cloud (iCloud ou OneDrive, avec des restrictions - plutôt orienté enduser -), soit dans l'AD quand tu en utilises un (pour Windows). Cela ne te protège pas contre la justice judiciaire ou administrative de ton pays ou un service de renseignement, mais de toute façon c'est pas pire que sans chiffrement de ce point vue. Cela te protège par contre en partie(*) contre des choses qui se font concrètement maintenant dans la vie de tous les jours lors du vol de machines (vol de données, de crédentials ,etc). La récupération peut être un peu plus compliquée, même si maintenant des efforts ont été faits par les éditeurs, que juste plugguer un disque dur dans une autre machine, mais je pense que protéger 15 ans de vie numérique le vaut.
Tu penses bien que si Apple et Microsoft s'y sont mis, c'est pas juste pour se manger plus d'appels au support.

Le balayer d'un revers de main "parce que c'est compliquaï" est pour moi une position très dangereuse en 2017.

(*) il faut le rappeler, le chiffrement de niveau filesystem ne protège dans la plus part des cas qu'une machine éteinte. Il ne protège pas contre une attaque DMA (kikoo thunderbold, expresscard) ni contre une intrusion par le réseau ou le click sur un PJ pétée(kikoo dridex)