TImaniac a écrit 6420 commentaires

  • [^] # Re: C'est faux

    Posté par  (site web personnel) . En réponse au journal Combien de victimes avec M$ Machin 10?. Évalué à 3.

    Du coup c'est même encore mieux niveau sécurité : pas besoin de divulger ton mdp à tes amis, au risque qu'ils le notent et le partage.

  • [^] # Re: C'est faux

    Posté par  (site web personnel) . En réponse au journal Combien de victimes avec M$ Machin 10?. Évalué à 2.

    Mais pour un besoin géographiquement local

    Ca marche aussi avec les hotspots et l' intérêt du cloud c'est aussi le backup : je change de tel ? Pas grave mes mdp sont synchronisés.

  • [^] # Re: C'est faux

    Posté par  (site web personnel) . En réponse au journal Combien de victimes avec M$ Machin 10?. Évalué à 5.

    C'est chiant de se répéter : non et encore non, même activée, la fonctionnalité WiFi Sense ne provoque aucun partage de mot de passe tant que l'utilisateur n'effectue pas une action volontaire et manuelle (cocher une case qui n'est PAS cochée par défaut) pour chaque réseau wifi auquel il se connecte.

    Quand à la sauvegarde de mot de passe sur les serveurs de Microsoft, c'était déjà le cas sous Windows 8, et c'est également valable sous Android et iOS. Même Firefox propose de synchroniser ses mots de passe.

    Ca peut paraître effectivement dangereux cette sauvegarde, mais il faut aussi voir le bon côté des choses : on peut utiliser des mots de passe différents et complexes sans devoir les taper systématiquement sur tous ses devices. Sans cette fonctionnalité, les gens ont tendance à utiliser le même mot de passe partout, et c'est pas mieux niveau sécurité à mon sens.

  • [^] # Re: Et si seulement on se renseignait avant...

    Posté par  (site web personnel) . En réponse au journal Combien de victimes avec M$ Machin 10?. Évalué à 6.

    La capture d'écran que j'ai faite montre les comportements par défaut : la fonctionnalité est activée par défaut, mais le choix de partager tel réseau à travers la case à cocher (à droite) n'est pas activé par défaut.

  • [^] # Re: Et si seulement on se renseignait avant...

    Posté par  (site web personnel) . En réponse au journal Combien de victimes avec M$ Machin 10?. Évalué à 10.

    Titre de l'image

  • [^] # Re: Et si seulement on se renseignait avant...

    Posté par  (site web personnel) . En réponse au journal Combien de victimes avec M$ Machin 10?. Évalué à 3.

    La fonctionnalité est activée par défaut à l'installation de Windows : mais aucun réseau n'est partagé tant que l'utilisateur ne coche pas une case explicitement lors de la connexion à un nouveau point d'accès.
    Bref, impossible que l'utilisateur partage un réseau sans action de sa part.

  • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

    Posté par  (site web personnel) . En réponse au journal Internet Explorer : 4 failles 0 day publiées. Évalué à 2.

    le site ZDI indique la liste des produits concernés, on peut donc supposer que ca ne concerne que le produit Internet Explorer Mobile.

  • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

    Posté par  (site web personnel) . En réponse au journal Internet Explorer : 4 failles 0 day publiées. Évalué à 4.

    On parle de Internet Explorer Mobile (https://en.wikipedia.org/wiki/Internet_Explorer_Mobile), pas Internet Explorer version Desktop imposé par les DSI.

  • [^] # Re: et pourtant...

    Posté par  (site web personnel) . En réponse au journal Nous les intellectuels autoproclamés du numérique. Évalué à 0.

    l'open bar concerne tous les softs MS : office mais aussi Windows Desktop & server, Exchange, AD, SQL Server, etc.

    Ensuite c'est pas 400 mais plutôt 200 ingénieurs, parcqu'il va falloir payer leurs chefs, leurs super chef, etc.

    Après ils vont mettrent plusieurs années à te pondre des softs interopérables (oui il faut que ton OS codé par tes ingénieurs soit capable de faire tourner les softs métiers qui ne tournent aujourd'hui que sous Windows) : donc en gros pendant 5 ou 10 ans tu vas devoir continuer de payer tes ingé… + l'open Bar Microsoft.

    Et puis en fait ils sont que 200 donc ils seront incapables de suivrent la cadence de Microsoft pendant ces 5 ou 10 ans.

    Ensuite tu vas avoir des coûts de migration, formation, etc.

    Bref, une simple division démago ne fait pas un raisonnement pertinent.

  • [^] # Re: Justement : non

    Posté par  (site web personnel) . En réponse au journal L'Armée Française et ses logiciels, bis repetita.... Évalué à 10.

    Ainsi dans la vie libérale une personne avec femme et enfant demandera plus chère pour aller travailler à 5500 km pour une mission que s'il est tout seul.

    Ouais enfin dans la vie libéral ton toto sera jamais embauché : en tant que PDG de BlackWaterCorp, je préfères embaucher un mec célibataire sans attache, y'a des chances qu'il soit plus "à fond" qu'un mec qui te demande d'entrée plus de thune et qui cherche tous les soirs comment finir sa mission plus vite pour rentrer au bercaille voir sa femme et ses gosses.

    Ouais je carricature, mais globalement tu fais plein de comparaison foireuses pour dénoncer l'argument de Zenitram.

    Exemple, quand tu parles du mec qui a 25 ans d'expérience pour justifier une différence de salaire parcque "situation différente". Il est payé plus cher car il est probablement plus efficace du fait de son expérience : la situation est effectivement différente d'un autre individu, mais dans le contexte pro et uniquement dans le contexte pro : si un mec est payé plus cher qu'un autre c'est qu'il y a un gain plus important pour société.

    Et là je rejoins Zenitram, rien à branler de sa vie privée et du nombre de femmes et de gosses qu'il entretien/fornique/élève.

    Que ces "+" de la vie privée soit utilisé comme "appât" commercial pour embaucher dans certains secteurs tendus, c'est de la pure logique libérale; mais dans le public, il faut arrêter ce genre de connerie qui n'ont aucun fondement éthique. Comme si un mec marié avec enfant valait plus qu'un mec célibataire.

    Et je suis marié avec 3 enfants.

  • [^] # Re: A qui profite le crime ?

    Posté par  (site web personnel) . En réponse au journal Snowden : Les services secrets allemands auraient espionné Airbus pour la NSA. Évalué à 4.

    1981 contre 1985 si je compare le TGV à l'ICE

    1985 c'est le premier prototype d'ICE. Dans ce cas compare au premier proto du TGV_001 qui date de 1972. L'ICE n'a été mis en service qu'en 1991.

  • [^] # Re: Ouais, ouais....

    Posté par  (site web personnel) . En réponse au journal Bac et calculatrices programmables : la fin ?. Évalué à 3.

    Je me suis senti un peu obligé j'avoue :)

  • [^] # Re: Ouais, ouais....

    Posté par  (site web personnel) . En réponse au journal Bac et calculatrices programmables : la fin ?. Évalué à 4.

    Une Ti à la rigueur, mais même là… Un peu comme ceux qui disent préférer vim à emacs. Incompréhensible.

    Ouais enfin pour le coup quand la TI92 est sortie, c'est plutôt la HP48 qui est devenue le vim du lycéen.

  • # user-agent et IE

    Posté par  (site web personnel) . En réponse au journal Google: je sais, je sais... mais tout de même, j'ai les boules !. Évalué à 3.

    Google a l'habitude de ces pratiques, suffit de voir ce qui arrivait aux utilisateurs de Windows Phone 8. Depuis l'été dernier MS a décidé de changer l'user-agent pour se faire passer pour un navigateur webkit afin de contourner ces limitations arbitraires :
    http://www.windowsphonefr.com/windows-phone-8-1-update-1-internet-explorer-11-se-prend-safari-trompe-google/29396

    Bon ca va pas les aider à améliorer leurs stats de navigateur mais pour l'utilisateur final cajustemarche :)

  • [^] # Re: Je rêve...

    Posté par  (site web personnel) . En réponse au journal Microsoft utiliserait le chantage des brevets Android pour forcer Samsung à diffuser des spywares. Évalué à 1.

    Le socle techno est "universel", mais il n'est absolument pas encouragé de faire la même IHM pour mobile ou PC/tablette.
    C'est un peu comme le web, tu peux faire un truc orienté mobile ou à l'inverse grand format, mais tu peux aussi faire du Responsive Design.
    Ben là c'est pareil.

  • [^] # Re: Prems LOL

    Posté par  (site web personnel) . En réponse au journal Faille de sécurité glibc. Évalué à 3.

    Je dis pas que le libre est moins secure, je relativise la "confiance" liée à la "forte réactivité" de la communauté.

    Mais bon comme tu le dis si bien je dois avoir tord puisque la faille n'a pas été "officiellement" exploitée. Me voilà rassuré et confiant.

  • [^] # Re: Prems LOL

    Posté par  (site web personnel) . En réponse au journal Faille de sécurité glibc. Évalué à 0.

    Donc le fait qu'un bug soit present dans un code pendant des annees avant d'etre decouvert n'a absolument rien avoir avec le fait que le code soit libre ou pas. Il faut que le code soit relu (eventuellement)

    Ouais enfin c'est quand même plus facile d'auditer du code libre que du code proprio closed-source hein :)

    Le pire reste quand même le fait que le bug ait été découvert en 2013 et identifié comme dangereux qu'en 2015 : j'imagine que ceux qui cherchent des failles de sécu se régalent des mailing-lists de "patch" anodins et regardent les bugs corrigés avec un œil totalement différent du développeur lambda qui n'a vu qu'un simple "bug".

  • [^] # Re: trop tôt

    Posté par  (site web personnel) . En réponse au journal Faille de sécurité glibc. Évalué à 6.

    Le voilà :)
    Titre de l'image

  • [^] # Re: Prems LOL

    Posté par  (site web personnel) . En réponse au journal Faille de sécurité glibc. Évalué à -2.

    Le libre est super de ce côté, tout le monde peut voir ce qu'il se passe, rien n'est caché, on voit aussi le temps de réaction et ça aide à avoir confiance.

    Oué grâce au libre tout le monde pouvait effectivement voir qu'il y avait un bug présent depuis plus de 10 ans dans le code, tout le monde a également pu voir que ce bug a été identifié publiquement en 2013 et qu'il a fallut atteindre 2015 pour qu'une société l'identifie comme dangereux.

    Ca donne effectivement confiance, on se dit qu'il n'y a sans doute aucune personne malintentionné qui est pu exploiter cette vulnérabilité avant.

  • [^] # Re: Non

    Posté par  (site web personnel) . En réponse au journal Une backdoor de la NSA dans OpenSSH ?. Évalué à 0.

    Etre root… ou exploiter une faille de sécurité.

  • [^] # Re: Compléments

    Posté par  (site web personnel) . En réponse au journal tor et la nsa. Évalué à 1.

    Ce que tu dis es vrai, tu montres un avantage de l'open-source en matière de sécurité vis-à-vis des backdoors, mais tu occultes les inconvénients : participation ouverte (à tous, pas toujours de bonne intention), code ouvert facile à lire (mais celui qui trouve un bug est potentiellement un enemi), faux sentiment de sécurité vis-à-vis d'un code forcement expertisé (alors que dans les faits des failles béantes restent pendant des années).

    Donc oui, même si les 2 modèles sont très différents, d'un point de vue sécurité il n'y a aucune différence : aucun n'apporte de garantie et il faut donc appliquer la même prudence aux 2.

  • [^] # Re: Compléments

    Posté par  (site web personnel) . En réponse au journal tor et la nsa. Évalué à 2.

    Ce qu'il dit, c'est qu'une backdoor volontaire dans un logiciel propriétaire est beaucoup plus facile à cacher puisque dans le code source, elle n'a pas besoin de prendre l'apparence d'un bug subtil

    Oui c'est plus dur à cacher dans un programme open-source mais c'est aussi plus facile de tenter : l'aspect développement communautaire fait qu'on peut facilement rentrer dans le cycle de développement et proposer un patch "anodin". D'ailleurs la NSA utilise déjà le même genre de ruse en s'immiscent dans d'autres forme de travail "ouvert", comme la rédaction de spec/standard à l'IETF ou autre.

  • [^] # Re: Compléments

    Posté par  (site web personnel) . En réponse au journal tor et la nsa. Évalué à -2.

    Il est completement trivial d'ajouter une backdoor dans un programme proprietaire qui ne sera jamais trouvée par du fuzzing. Dans un programme open source, il faut faire un patch qui ajoute un bug subtile, en ésperant qu'il ne soit pas remarqué, ni corrigé lorsque le code change. C'est beaucoup moins trivial.

    Je parlais de bug, pas de backdoor volontaire. Heartbleed et Shellshock sont des bugs, et ce ne sont que 2 exemples qui ont fait parler d'eux par leur criticité et la popularité des softs associés, à mon avis ils sont loin d'être rares.

    Dans un programme open source, il faut faire un patch qui ajoute un bug subtile, en ésperant qu'il ne soit pas remarqué, ni corrigé lorsque le code change. C'est beaucoup moins trivial.

    C'est pas trivial mais c'est sans doute pas plus dur que de chercher à corrompre une boîte de dev propriétaire pour qu'il intègre un backdoor (ils acceptent rarement les pull request :-)). Parcqu'un éditeur qui propose une brique aussi populaire que OpenSSH il a une image de marque à défendre, alors prendre le risque de s'aliener tous ses clients en cas de découverte, faut que le risque en vaille sacrément la chandelle. C'est possible que ca arrive mais c'est du même niveau de probabilité que de trouver un heartbleed ou un shellshock, qu'il soit volontaire ou non. Et qui dit bug critique, dit installation potentielle d'un backdoor par derrière, tout aussi invisible que dans ton logiciel proprio.

    Bref, pour moi il n'y a pas de meilleur ou pire en matière de sécurité, aucune des 2 approches (libre/proprio) n'apporte de garantie à l'utilisateur.

  • [^] # Re: Compléments

    Posté par  (site web personnel) . En réponse au journal tor et la nsa. Évalué à 1.

    mais c'est le mieux que l'on puisse faire actuellement.

    Ca peut aussi donner l'effet inverse : un faux sentiment de sécurité.
    J'ai cité Shellshock mais on peut aussi prendre pour exemple Heartbleed : le code incriminé a été introduit par erreur sous la forme d'un patch, qui a pourtant été relu à l'époque. Et il a fallut là encore 2 ans pour qu'elle soit découverte, dans une brique logicielle pourtant critique d'un point de vue sécurité !
    Alors oui, des experts peuvent "contrôler" le code de logiciels libres, mais non seulement ils ne sont pas forcement efficace (cf. exemples précédents) mais ces experts peuvent avoir des intentions toutes aussi opposées (genre un expert de la NSA), et l'ouverture du code devient alors à double tranchant.

    c'est que ca met au meme niveau un logiciel entierement libre et qui a été analysé par un tas de gens qui s'y connaissent, et un logiciel proprietaire bourré de spywares.

    C'est du FUD pur et simple. Pour rappel beaucoup de bugs sont trouvés par des techniques (fuzzing, etc.) qui ne demande aucun accès au code source et qui s'applique très bien aux logiciels propriétaires.

    Je ne dis pas qu'il faut mieux faire du proprio, mais d'un point de vue sécurité, oui c'est pour moi au même niveau : on croit utiliser quelque chose en confiance alors qu'il faudrait être au moins aussi prudent qu'avec un logiciel propriétaire.

  • [^] # Re: Compléments

    Posté par  (site web personnel) . En réponse au journal tor et la nsa. Évalué à 3.

    Pour ma part, j'ai une confiance totale dans le projet tor car bien que financer en partie par le gouvernement américain, le code est libre et donc beaucoup de gens peuvent regarder le code et c'est ce qui est fait. Autre point, tor est développé en partie par Jacob Appelbaum qui a régulièrement des problèmes avec les autorités américaines lorsqu'il passe la frontière (voir le livre d'Assange). Bref, le code est libre et ça semble une garantie suffisante pour vérifier que la NSA n'y a pas un accès caché (jusqu'à preuve du contraire).

    Je pensais que la faille Shellshock présente depuis 20 ans dans un logiciel libre très populaire avait au moins permis d'arrêter ce raisonnement naïf sur la "garantie suffisante" qu'offre l'accès au code source. Ou alors c'est de l'ironie ?