Marc Quinton a écrit 1554 commentaires

pas de réponse chez Hellobank concernant ce sujet.

• FIDO
• une des variantes OTP ?

ca marche très bien sur les sites de crypto, je ne comprends pas bien pourquoi on ne le fait pas sur les sites des banques en ligne. Boursorama semble avoir une double authentification FIDO2, mais qui ne fonctionne pas sur ma conf Linux actuelle.

Est-ce que les applis spécifiques aux banques apportent plus de sécurité que les standards actuel (OTP, FIDO) ? ou alors des services plus complets ? Ne peut-on pas dissocié l'application et la méthode d'authentification sécurisée ?

j'aime bcp ce passage, bien que je me sente moyennement concerné:

Motivation

Imagine you're a mortal who is accustomed to VS Code or some other GUI Text Editor/IDE, and suddenly you have to login to some SSH or fire up a Linux Server Distro with no GUI. You find yourself treading in the territory of immortals where beasts like Vim, Emacs and others reside. You find a friend called Nano, but it doesn't speak your tongue (i.e. key bindings), so you waste your time trying to learn a new way to communicate instead of getting the job done and get the hell out of there. This editor can be your friend that speaks the same-ish tongue and you can take it there with you. It isn't the only one though, there is another one (a better one) called Micro.

justement, il semble que l'article en question, en dépit du titre qui lui a été affecté traite bien de TousAntiCovidVerif. Le lien Gitlab est là pour en témoigner, mais aussi l'accroche en haut de page. Quel manque de précision dans cet article, à moins que les 2 applications fasse partie du même écosystème et qu'on explique l'amalgame de cette façon.

en environnement virtualisé, pas de partitionnement et utilisation des disques virtuels en direct :

# remplacer /dev/sdx par le device du disque virtuel
mkfs.ext4 /dev/sdx
mount /dev/sdx /mnt
resize2fs /dev/sdx

cette façon de procéder permet de retailler dynamiquement les partitions sans avoir à s’embêter avec la table des partitions ni à rebooter ou les démonter.

il existe un mode de lecture alternative sur FF qui fonctionne plutot bien sur ce site et permet la lecture sans encombre.

voici ce qui ce rapproche le plus de cette technologie (passive sensor GSM SDR) : https://payatu.com/passive-gsm-sniffing-software-defined-radio

voici de quoi te satisfaire : c'est basé sur Debian et Docker. Ca me semble intéressant en tout cas !

le sujet le plus sensible du reportage concerne la société spécialisée dans la gestion des officines médicale : elle propose pour la modique somme de 6€/mois un logiciel mis à disposition gratuitement dans les pharmacies ; le montant de 6 Euros est bien un revenu qui vient en compensation de la mise a disposition de nos données personnelles médicales associées à notre carte VITAL.

Il semble que les données soient anonymisée. Si elles passent par le heath-datahub français, oui, elles pourraient certainement l'être en passant par un filtrage réalisé par un tiers de confiance. Le soucis, c'est que la data depuis les officines est sans doute hébergée directement sur le SI de l'opérateur qui ne semble pas être un tiers de confiance.

Les autres sujets du reportage sont liés :
- au pistage massif par les applications Android
- mais aussi aux différents traceurs numériques intégrés sur de très nombreux sites Web

On y découvre les data-brokers qui collectent les données en très grande quantité et qui sont en mesure d'assembler pour un seul individu, jusqu'a 30.000 données, ce qui permet de profiler d'une manière très précise l'individu sur son état de santé, ses convictions politique et religieuses, … La conclusion est que bien que anonymes, les données collectées ne le sont pas.

le bundle Omnibus fonctionne parfaitement pour ce qui me concerne, sur une base Debian. Je n'ai aucun soucis concernant la production et les MAJ.

Si je devais installer une nouvelle instance maintenant, je m'orienterais certainement vers une solution Dockerisée. Je ne connaissais pas Fast Track.

merci mon ami.

sur un système Linux en production, un mécanisme de lock est mis en place et on peut observer la présence de ces fichiers :
- /usr/lib32/.X11/X0-lock
- /bin/lib32/.X11/X0-lock
- $HOME/.X11/X0-lock
- $HOME/.X11/.X11-lock

on peut aussi obtenir la liste des locks avec cette commande : cat /proc/locks

pour assurer sa persistance, le virus crée des fichiers là ou il peut ; il suffit donc d'aller les chercher avec la commande find ; voici ce que cela donne sur un répertoire de backup, basé sur rsnapshot:

cd /backup/system/daily.0
find . -type f | egrep '/bin/systemd/systemd-daemon|/usr/lib/systemd/systemd-daemon|/.dbus/sessions/session-dbus|/.gvfsd/.profile/gvfsd-helper'

les chemins à chercher doivent contenir:
- /bin/systemd/systemd-daemon
- /usr/lib/systemd/systemd-daemon
- [$HOME]/.dbus/sessions/session-dbus
- [$HOME]/.gvfsd/.profile/gvfsd-helper

https://www.it-connect.fr/rotajakiro-cette-porte-derobee-sous-linux-passe-sous-les-radars-depuis-2018/

• pourquoi réguler le taux de CO2 dans une pièce afin de réduire le risque de contamination du COVID19, par aérosol, avec une démonstration mathématique simple à comprendre pour tous : https://www.youtube.com/watch?v=8b3lhDyVqgk
• comment s'équiper d'un appareil de mesure du CO2 : https://projetco2.fr/s-equiper

peut-etre coupler :
- un démontage de la partition de manière régulière (plusieurs fois par jour, mais fréquence supérieure à 2 ou 3 heures),
- un montage automatique avec systemd,
- un mécanisme de standy sur timeout ou forcé avec hdparm.

on peut monitorer l'état des disques et ensuite injecter l'état sur une petite supervision et voir le résultat graphiquement. Pour ma part, c'est influxdb + chronograf.

expérience perso : ça n'est pas bien concluant et les disques tournent plus régulièrement que souhaité.

voici mon wrapper autour de hdparm, smartclt : https://gist.github.com/mqu/115fdc9eb471d81ac0ef1884746faefa

probablement, un parametre du serveur à modifier : /etc/ssh/sshd_config : ListenAddress = 0.0.0.0

suivi d'un systemctl reload ssh

pour ce qui nous concerne, notre instance Nextcloud est connectée à un annuaire LDAP d'entreprise avec entre 1200 pour l'une des branches et 15000 utilisateurs. Malheureusement, pour une raison que j'ai du mal à expliquer, si je connecte à la branche globale de l'annuaire, les performances sont très mauvaises : trop de requêtes LDAP unitaires plutôt qu'une seule et unique. Alors on est obligés de brider notre instance à une sous-branche de l'annuaire.

Est-ce que quelqu'un d'entre vous a aussi cette expérience ?

exact, ou presque ; nous sommes manifestement dans une sorte d'imbroglio ou chacun campe sur ses positions depuis fort longtemps.

voici un client et de la doc, concernant SSTP : http://sstp-client.sourceforge.net/

peut-etre des pistes d'investigation ici : https://telechargement.insa-toulouse.fr/dl_vpn_fortinet.html (il s'agit d'une doc utilisateur final).

• le prestataire principal pour l'EN semble être : https://opendigitaleducation.com/
• le prestataire dispose d'un espace de publication de code source : https://github.com/opendigitaleducation
• et une documentation : https://opendigitaleducation.atlassian.net/wiki/spaces/PUBLIC/overview

tu peux essayer avec ssh ... -o IdentitiesOnly=yes pour voir ?

je cite:

"Anticor, spécialisée dans la lutte anticorruption, évoque dans son communiqué du 22 mars de potentiels « manquements aux règles relatives à la commande publique » sur la mise en place et la maintenance du dispositif par des entreprises privées. Au point où l’association dénonce un « favoritisme dans l’attribution des contrats relatifs à l’application StopCovid, qui n’auraient été soumis à aucune procédure de passation de marché public »."

Mais que fait la police. Les règles des marchés publics sont valables pour tous, à moins que … On peut cependant imaginer que la passation de marchés publics dans un contexte de crise sanitaire peut conduire à des délais de réalisation peu compatibles avec une urgence.

Se pose aussi la problématique d'hébergement applicative et de cloud souverain. Il existe bien des entités rattachées aux différents services publiques ayant capacité à faire du développement rapide. De là à être en capacité de développer et exploiter une appli telle que "tous-anti-covid", il y a un pas.

pour rappel, à la base, Ruby et Crystal étaient parfaitement compatibles, avec un objectif de rendre compilable sous forme d'exécutable le code source Crystal. Au fur et à mesure des versions, la syntaxe à quelque peu changé et ils ne sont plus interchangeables ; passer de l'un à l'autre me semble assez simple.

Longue vie à Crystal. A se demander si ca ne fait pas doublon avec d'autres langages compilés : Go, Rust en particulier.