oinkoink_daotter a écrit 1695 commentaires

Étant donné que le "+" est souvent rejeté,

Si tu hostes ton serveur de mail, tu peux remplacer le "+" par un "-" (c'est ce que j'ai fait). Et tant pis pour les prénoms composés.

Edit :Mince, grilled par chimrod<

Blackblaze B2 est compatible avec Synology puisque la procédure est indiquée sur leur site officiel

Oui et non. C'est compatible de "Cloud Sync", le truc qui mirrore une arborescence, mais pas de "Hyper Backup" le truc qui fait les sauvegardes, avec chiffrement, historique et déduplication (que j'utilise).

La non mutabilité n'est pas un critère pour moi car c'est pour du pur particulier. La seule chose dont j'ai besoin c'est d'un backup frais de mes données si ma maison crame ou que je me fais gauler le NAS, et sans m'embêter avec des disques USB et leur gestion opérationnelle.
Le problème de blackblaze B2 c'est que ça n'a pas l'air supporté par hyperbackup. Hyperbackup gère lui même la déduplication, donc je n'ai pas besoin que le fournisseur de cloud le fasse pour moi (surtout qu'il ne pourra pas puisque les données sont chiffrées côté client).

Idem, je cherche à en partir cpmplètement. L'avantage du gros dédié c'est que je peux mettre dessus mon serveur de mail, dont la moitié est hébergée sur un KS.

Non, malheureusement, car il a besoin "juste" de 2To et le champ commercial des possibles est très différent.

Et ces lois ne s'appliquent que dans le pays concerné.

Non, c'est complètement faux. Oui, par principe la loi est territoriale, mais en France par exemple, il y a deux exceptions décrites dans le lien wikipedia de mon post plus haut. Elles gèrent le cas de victimes françaises ou suspects français, vis à vis de crimes ou délits eux même punissables dans le pays ou le truc a été commis, avec un joker pour le terrorisme et les crimes contre l'humanité.

donc on trouve qqc ("association de malfaiteurs en relation avec une entreprise terroriste")…

Euh, hein ? On les poursuit réellement pour ça, en application d'un principe d'extraterritorialité du droit français, pas juste parce qu'on pense qu'aller en Turquie ou en Syrie c'est #pascool. Pour ça, on a des fichiers administratifs.

(Bon, et aussi parce que ça permet de les mettre au frais quand ils rentrent, car la crainte numéro 1 du politique, c'est qu'ils se fassent plaiz' en rentrant)

Je m'était suis dit qu'en continuant un peu on atteindrait le niveau fonctionnel de la tabulation dans Wor^WLibreOffice, mais je ne l'avais pas écrit, par timidité :-D.

Ils ne votent pas on s'en fout :)
Plus sérieusement, j'y avais pensé, mais je ne l'ai pas écrit parce que les deux réseaux dont tu parles ne permettent pas trop de véhiculer des idées. Il n'y a qu'à voir le contenu de l'instagram élyséen.

Bah d'un côté tu as un outil audité par l'ANSSI dont ils disent que le code est "propre et lisible",

Non, tu as un outil audité par un CESTI, Amossys, sur la base d'une cible de sécurité validée par l'Agence. Cet audit/évaluation a fait l'objet d'un rapport sur lequel l'Agence s'est fondée pour mettre son tampon parce qu'elle sait qu'Amossys travaille bien. CSPN ça veut dire "Certification de sécurité de premier niveau", ce qui veut dire "ça fait ce que ça dit que ça fait de façon pas trop mal à priori". Elle n'a jamais audité elle même le truc.

Je ne me rappelle plus des détails, mais il me semble que plus de la moitié des trucs qui se présentent en évaluation CSPN se font retoquer au premier passage.

ni en https alors même qu'ils se sont déjà fait p0wn par la NSA via du man in the middle, les loosers)

Je ne retrouve pas de trace d'un tel truc. T'es sûr que tu ne confonds pas avec l'attaque plus classique "type Podesta" qui avait eu lieu où des gars du staff avaient reçu un vilain spearphishing leur demandant de s'authentifier sur un lien présent dans un mail, lien qui renvoyait sur une mire ressemblant à la mire d'authentification de l'Elysée, mais sur un site extérieur tenu par les pirates ?

Je pense que l'analyse ça a été : où est notre audimat ? Sur Facebook. Allons les chercher et rassemblons les sur Facebook. En plus, il y a un système assez évolué de gestion et modération de commentaires, ça permet d'offloader de la charge. En plus, ça fait jeune.

L'employeur a le droit de déchiffrer les paquets mais ne peut pas lire le contenu.

Si, il peut. Le principe de n'importe quel antivirus, de flux ou de fichier, ou même d'une solution de DLP, c'est de s'intéresser au contenu et pas juste aux métadonnées ; solutions qui à ma connaissance ne sont pas interdites en France. Il faut juste que ce soit écrit et (réputé) connu du salarié.

• Il faut prévenir avant.

Oui. Mais attention, le coup de la signature obligatoire de la charte, c'est un coup oui, un coup non. Dans certains cas l'annexion au règlement intérieur peut suffire (c'est ce que m'avait indiqué le cabinet d'avocats dans mon ancienne boîte)

• Il faut informer du pourquoi.

Oui, mais il ne faut pas oublier qu'à ton niveau c'est une information, pas une négociation. T'as le droit de ne pas être d'accord, tout comme l'employeur n'est pas tenu de te fournir l'internet.

• Il faut informer sur le temps de rétention des données (pour la CNIL, c'est 6 mois max)

Non, la CNIL dit qu'une durée de l'ordre de 6 mois est généralement suffisante, pas que c'est le max. C'est écrit ici. Dans le cas où ça peut être aussi utilisé en réponse à incident, on peut très bien vendre un an.

On doit pouvoir consulter les procédures d’accès à ces données

Individuellement, à ma connaissance, tu n'as aucune base de droit pour ça. Pas plus que tu n'as le droit de consulter les procédures de Facebook pour t'assurer que tes données sont secure. L'autorité de contrôle, par contre, oui.

L'ANSSI est assez frileuse sur le sujet.

C'est surtout pas vraiment son sujet et ils ont d'autres chats à fouetter.
Dans la note technique de l'Agence pointée plus bas, il y a un élément qui va dans le sens du journal : la R22 avec l'exemple des banques. Cependant c'est toujours une histoire de bénéfice/risque. A priori, je serai enclin à ne pas intercepter le trafic vers paypal ou la BNP, par contre ne pas le faire avec le webmail d'Octave serait suicidaire. Donc c'est pas une généralité. Dans ce cas, je préfère bosser un peu avec le fournisseur pour mon registre de traitements gédépéhère.

(la R4 avec le gag sur l'IGC/A me fait hurler de rire)

Souvent dans ces machins, t'as plusieurs niveaux de whitelist, avec des effets de bords en fonctions de whitelist. Essayé et détesté avec un manteau bleu.

C'est pas impossible mais en l'espèce, on ne désigne pas un coupable, on cible méchamment une perquisition/enquête, donc ce n'est pas le seul élément qui entre en ligne de comte. D'autant que si tu ne veux pas te faire gauler, il ne faut pas juste chopper les credentials d'un collègue. C'est pour ça qu'en entreprise on limite (ou on essaye de limiter) ce que peuvent faire les gens avec les machines, c'est pas juste parce qu'on est des nazis.

Mais encore une fois, ici, tu vas te faciliter la vie par rapport à un proxy openbar et la problématique sera à peu près identique qu'avec un proxy authentifiant classique.

En cas d'activité frauduleuse, ce sera donc à l'entreprise de démontrer que ce n'est pas elle qui est à l'origine de l'activité, et surtout de désigner le coupable. C'est pas évident.

Elle va montrer sa bonne et foi et balancer les logs. Ca tombe bien, un des avantages des boîtes magiques type Zscaler/Bluecoat, c'est que ça fait des logs de fou et que ça authentifie. Quel est le truc compliqué, ici ?
En faisant ça, paradoxalement, elle se compliquera moins la vie qu'avec un proxy à l'ancienne qui n'intercepte pas le traffic SSL et non authentifié/journalisé (puisqu'à priori ce n'est pas obligatoire), où elle risque une perquisition à grosse maille pour trouver d'où vient la merde. Parce que bon, ça ne se termine pas à "désolé, msieur le policier, j'ai pas de logs parce que je ne suis pas obligé".

Je pense que ce qui intéresse l'administration fiscale, c'est plus ce qui a trait à la facturette que le transfert d'argent de compte à compte qui a lieu via le chéquier. J'imagine que l'horodatage du terminal CB est plus ou moins réputé sûr, alors que le chèque, voilà, quoi.

Il me semble qu'au moins Microsoft l'utilise sur ses "surface" (les ARM, donc "pas pro"). On le voit grâce au (UEFI) secure boot non désactivable.

Mais c’est quoi ce truc, c’est pas toxique au moins ? Parce que les fluides qu’on livre dans cette gamme de quantité, généralement ça dépote : comme les colles cyanoacrylates (celles qui tiennent le monsieur la tête en bas collé par les semelles de ses chaussures, et qui vous collent les doigts tout aussi fermement en cas de mauvaise manip’…).

Les cyanocrylates ne sont pas particulièrement toxiques pour l'humain. Elles sont d'ailleurs souvent utilisées en médecine humaine.

il y a de forte chance que le PC infecté soit celui du concepteur,

Non. Sauf à être complètement teubé, quand tu développes un malware, tu ne le fais pas avec un antivirus actif (et tu accèdes à Virustotal via un proxy pour soumettre ton truc puis le bricoler jusqu'à ce qu'il passe sous le radar).

Concernant ce qu'il s'est passé (ce n'est pas particulièrement pour toi), je pense qu'il est important de lire l'analyse qu'a fait Kaspersky sur l'incident (c'est ici). L'aspect collaboration avec le KGB n'est pas abordé et honnêtement on s'en fout. Potentiellement, oui, potentiellement non.
Sur les faits, Kasperky a vu sur un PC (complètement vérolé) sur lequel a été lancé un full scan un truc qui ressemblait à un APT. Il a uploadé l'archive dans lequel se trouvait le truc pour analyse… Le truc a été analysé. Oups il y avait des trucs dans l'archive qui n'aurait pas du être dedans.

C'est le fonctionnement de n'importe quel antivirus un peu évolué du moment sur lequel la télémétrie n'est pas désactivé (dans le cas Kasperky, ils disent qu'elle ne l'était pas).
Microsoft fait à peu près PAREIL avec l'automatic sample submission. La seule différence c'est que si MS estime que le sample "peut contenir" (bien évidemment sans expliquer comment) des informations personnelles, il va te demander s'il peut uploader.
Après savoir si MS va contacter la NSA s'il détecte une nouvelle variante d'un APT Russe …

Par contre, je pense que cette affaire a été un wakeup call pour rappeler qu'effectivement, il y a pas grand chose qui empêche un fabriquant d'AV de demander à uploader tous les fichiers dans lequel il y a la signature "top sicrête". Mais je ne pense pas cette histoire, à elle seule, justifie le bannissement prononcé au niveau européen. Il doit y avoir d'autres trucs (et pas que les whitelists).

c'est quand même pas la mort!

Il me semble qu'à une époque udev foutait la grouille, genre il numérotait Slowlaris staÿle les interfaces réseau en fonction du nom du driver associé, et donc du coup, la reconnexion réseau se passait moins bien si le driver de la carte réseau changeait à la migration. Ça n'est plus vrai ?

EEE est une stratégie précise, qui fonctionne très bien car justement cela suit ces étapes. Si tu n'as pas l'extend, le reste n'est absolument pas pareil.

Techniquement, dans l'exemple Skype, le truc ayant été proprio et non interopérable depuis 0, ça n'a été ni "Embrace" ni "Extinguish" non plus. Ça commence à faire beaucoup de trucs qui manquent dans Embrace, Extend et Extinguish.

le représentant de Microsoft a évoqué la mise en place d'une « intelligence artificielle » dans Github, qui, je suppose, sera une sorte de data mining permettant de rechercher rapidement des morceaux de code. J'imagine très bien Microsoft rechercher les algorithmes les plus brillants pour les intégrer dans ses propres produits propriétaires. La GPL c'est bien, mais j'imagine qu'une fois le code compilé et intégré dans un ensemble plus vaste, la réutilisation illégale du code est indétectable.

Je pense que tu devrais te poser deux secondes et arrêter de supposer.
Au delà du fait que c'est frontalement illégal (il y a quand même des gens chez MS qui gèrent le risque légal et à l'image), qu'il ne faudra pas oublier de ne pas le breveter ce truc génial (on parle de boîtes qui "inventent" régulièrement des trucs genre boucle "if") parce que ce serait très très con d'inventer un truc sur lequel il y a un prior art dispo en GPL sur Internet, on peut se poser la question du quoi chercher et comment. Question simple, par exemple : 1)comment caractériserais-tu un algorithme de tri "brillant", 2) comment le détecterais-tu dans 1Go (au hasard) de code qui peut être dans une dizaine de langages ?
Le "data mining", le "machine leurningue", etc, c'est pas magique.

Par contre, pourquoi est que cette IA ne serait pas un truc pour faciliter la vie du développeur ? Par exemple un truc qui au git push/commit va regarder le code et dire : "oulà ce que tu fais ici, ça a l'air bien foireux" ou "vu les commits de résolutions de tickets, le truc que tu as fait là ressemble à un truc qui va te claquer entre les doigts", ou "nan nan, vu comment t'as appelé la fonction bidule, ça va probablement pas faire ce que tu veux" … Ou alors c'est pour la compliance au GDPR ou l'article 13…

C'est fou comment MS est perçu sur Linuxfr. Je sais que ce ne sont pas des tendres mais on en fait une sorte de méta entité démoniaque aux moyens illimités qui aurait dépensé 26myards (linkedin) plus 7.5myars (github) pour trouver les meilleurs développeurs et les algos GPL les plus brillants.

Il faut relire la définition d'Embrace, Extend, Extinguish. Il s'agit de prendre des standards, de les étendre puis couic interopérabilité (mode IE4/5/6 qui été le maître étalon).

En l'espèce, sur les sujets que tu as donné, ils ont essayé d'Embracer quoi comme standard ou même comme truc existant ?
Parce que là tu me parles d'un OS réécrit sur les cendres d'un OS mobile qui leur appartenait, d'un antivirus probablement pas basé sur clamav et qui marche pour des raisons commerciales assez moyennement, d'un cloud (qui contrairement à ce que tu penses marche plutôt du feu de Dieu commercialement), de la revente d'info personnelles (seriously, saikoi le rapport), des consoles de jeu sur lesquelles le truc le plus grave qu'ils aient fait c'est de négocier des exclus comme tous les autres. A l'extrême limite, on pourrait peut être trouver des trucs du côté du store, mais il faudrait vraiment tordre le concept.

Et clairement ils ont essayés dans tout un tas de domaines.

Ou ??????
Y a pas un seul cas dans tes exemples qui ne tombent pas dans la case de "on a tenté de lancer un produit"… comme n'importe quel industriel, en fait.

Ils ont essayé en tout cas : skype par exemple (racheté en 2011), linkedin (rachat en 2016)

Il faut relire la définition d'Embrace, Extend, Extinguish. Il s'agit de prendre des standards, de les étendre puis couic interopérabilité.
La, tu me parles de rachat de services propriétaires. Quel rapport ?