orfenor a écrit 1894 commentaires

Comme personne ne semble avoir réagi à TEMPEST je vous colle une partie de l'article, en plus court (et c'est moi qui souligne):

En 2018, une nouvelle classe d'attaque par canal auxiliaire a été introduite à l'ACM et Black Hat par des chercheurs d'Eurecom: « Screaming Channels ». Ce type d'attaque cible des circuits traitant un signal mixte (…) architecture souvent utilisée dans les objets connectés (…) Grâce à des techniques de traitement du signal, les chercheurs ont été capables d'extraire les clés cryptographiques utilisées pendant la communication et d'en déchiffrer le contenu. Cette classe d'attaque est supposée, par les auteurs, être connue depuis plusieurs années par les services de renseignement gouvernementaux.

L'article sur Wikipedia contient les références.

Bref, ne soyons pas naïfs : cette loi légalise ce qui se fait déjà et va permettre d'étendre le champ d'intervention.

Le problème c'est qu'on nous a déjà fait le coup de la surveillance ou du contrôle «seulement pour les terroristes» et qui plus ou moins rapidement est étendu à tous les délinquants puis tous les délinquants potentiels puis tous les coupables d'infraction — c'est à dire tout le monde. Et si on prend le cas du fichier des tests ADN on en est au point du mécanisme inversé : tu es maintenant délinquant si tu refuses le test.

Les politiciens étant tous parano, la surveillance fait partie de leur dada depuis toujours.

Par ailleurs, il faut relativiser le danger encourru par les gens envoyés poser un mouchard : dans le cas des téléphones mobiles il y a des plate-formes d'écoute réservées à la police dans les tours des opérateurs à la défense (en 1997 il y avait 2 étages dans la tour de Bouygues Télécom ou SFR) ; pour les objets connectés, ça m'étonnerait qu'une écoute distante type TEMPEST ne soit pas déjà mise au point, et puis s'ils sont connectés, pas sûr que ce soit crypté, auquel cas on peut se brancher sur le cable ou directement chez le FAI.

Dans le chapeau

N. D. A. : Cliquez sur les images pour en obtenir une version en pleine résolution, ou un lien vers la vidéo, pour les images contenant l’icône

La virgule insérée après vidéo ne rend pas la phrase claire ; il n'y a de vidéos que lorsque l'icône vidéo est visible (à une exception près). Il faudrait reformuler en

N. D. A. : Cliquez sur les images pour en obtenir une version en pleine résolution, ou une vidéo correspondante lorsque les images contiennent l’icône

C'est moi qui avait réécrit cette phrase en rédaction, je peux donc demander le fouet en plus !

Je pense que tu peux lui demander. Linutop est une toute petite entreprise, Frédéric Baille travaille peut-être tout seul.
Note bien que la GPL ne l'oblige pas à donner les sources. Il faut être client.

Le plus simple est de commencer par télécharger Linutop, Si les changements sont des scripts shell, perl ou python tu auras leurs sources.

La réponse est dans les chapeau des dépêches précédentes :-)
Leur site est un peu bordélique (faut de la chance pour tomber sur le Wiki par exemple!), si ça se trouve l'info y est mais la page n'est sur aucun sommaire :-)

Mais Linutop est une Ubuntu (Debian pour les Rapsberry) avec une recette d'installation et quelques bistouilles. Je suppute que la licence spécifique ne porte que sur la marque.

Je ne vois pas ce qui te fait réagir comme ça ?

D'une Linutop est librement téléchargeable comme on peut tous le constater, de deux ce passage dans la page que tu indiques me semble autoriser les remix d'Ubuntu (sinon on peut faire des procès par centaines!)

Any redistribution of modified versions of Ubuntu must be approved, certified or provided by Canonical if you are going to associate it with the Trademarks. Otherwise you must remove and replace the Trademarks and will need to recompile the source code to create your own binaries.

Waouh! l'interviewé est là!
Si on peut y aller de nos questions supplémentaires…

Ta critique de RISC-V est très intéressante, mais t'en pas assez dit sur ton proco. Comment peut-on suivre ton activité ? tu en parles dans des forums  ?

Dans cette dépêche, j'ai trop peu insisté sur le plus important. Ivan Ristić et sa femme m'ont rappelé qu'ils espèrent avant tout réunir des traducteurs. Appel aux volontaires!

Merci ! ça donne envie…
Sur quel genre de bécane ?
Et comparée aux grosses distrib (debian, fedora, suse, ubuntu, mageia, etc.) ?

Tu l'utilise pour quoi faire ? c'est un peu court…

• travail quotidien bureautique, web, email ?
• développement ?
• sysadmin ?
• serveur ?
• etc.?

Un peu en face oui :

Attention cet ancien logo peut s'envoler sans prévenir !

en plus ça a toujours été le cas, suffit de comparer les anciens logos

Oui mais c'est le sens qu'il avait avant. Sauf qu'il regardait vers l'avant. :-)))

Ah ben tiens, j'ai retrouvé https://www.pedalpc.com/

dépendance à la technologie des plus précaires.

En France, on en est tous obligatoirement dépendant. Avec ma copine on aide souvent les vieilles dames seules (veuves…) à se dépatouiller dans les relations numériques avec l'administration. Non qu'elles ne sache faire, mais parce que c'est épuisant, tout doit se faire via internet, avec SMS de confirmation sur le mobile, ou pire encore confirmation obligatoirement via une application dédiée installée sur un smartphone récent (merci ma banque que je quitte — ouf! — ce mois-ci). C'est même infernal, tant la liste de ce qui doit se faire via le mobile augmente vite.

Le pire : on habite sur une île, les compagnies maritime insistent de plus en plus pour nous envoyer les billets de bateaux sur mobile, tout en sachant très bien qu'on capte assez mal sur l'île… mais c'est décidé d'en haut. Et bien sûr quand on achète un billet, faut confirmer sur mobile…

Tu peux regarder aussi le projet d'ordi alimenté par un vélo. Le gars travaille en pédalant, ce qui alimente son ordi, son imprimante, son serveur web, son routeur et surtout recharge les smartphones et des piles pour des lampes. Ça me semble important pour des SDF (j'ai été SDF moi-même pendant 2 ans).

C'était sur Hacker News il y a quelques jours. Si ça t'intéresse je retrouverai l'url.

faudrait faire une dépêche de tout ça (avec les réponses) !

Ce n'est que la version 1.0, il faut bien commencer par quelque chose.

Non ce n'était pas ironique. Ben Allah m'a induit en erreur, j'espère que l'orthographe était involontaire.

C'est qui ? C'était quoi ? pas suivi …

J'adore !

committer le fichier sous SVN

vous ne gérez pas avec Git ?

Bon personne ne trouvant la réponse rigolote, je la livre :
C'était de Boris Vian, Une bonne paire de claques dans la gueule
(mais c'est vraiment capillotracté)

Il faut très nettement relativiser cette information. Il s'agit effectivement d'une attaque à partir de hash MD5 connus

Je ne serais absolument pas surpris que ce genre de hash existe encore dans pas mal d'applications.

Absolument ! L'article de Hive est très clair sur le sujet : non seulement MD5 est encore très utilisé, mais très souvent les caractères ASCII acceptés pour les mots de passe sont assez restreints (l'alphabet minuscule et majuscule, les chiffres et 15 symboles).

Il faut lire l'article pour comprendre les choix effectués pour produire ce tableau : montrer ce qu'un vilain pirate moyen — ouh ! qu'il est vilain celui-là !— peut faire pour une somme modique.
Il suffit d'y mettre le prix pour louer du temps de calcul autrement plus efficace en force brute. Autrement dit, une organisation criminelle ou un état a des temps de craquages beaucoup plus petits : avec le matériel de ChatGPT (10.000 GPUs), un passe de 10 caractères exploitant tous les caractères couramment autorisés résiste une heure seulement.

J'ai eu le privilège d'entendre tous les soirs pendant 10 ans au Club des Poètes, du Boris Vian dit ou chanté par Benoit Dayrat, Franck Viguié, la gouailleuse Anefrance, …