À l’heure où l’antiterrorisme est mobilisé pour réprimer des militant·es politiques, ce renforcement des pouvoirs policiers ne fait que souligner les dérives autoritaires du gouvernement.

Que l’on peut résumer en :

Tout ce que vous direz, partout, tout le temps, pourra et sera retenu contre vous.

C’est clair, non ?

Il y a eu un gros déraillement d’un train de produits chimiques aux USA récemment, polluant une très large zone en Ohio.

Un des facteurs contributif à l’accident serait la levée d’une norme de sécurité par Trump. America First, hum ?

Je remets ici ce que j’ai répondu à Yves qui m’interpèle sur cet accident, car c’est très important.

On oublie souvent que les normes et tout ça ne sont pas là pour faire chier, mais sont nées par un besoin suite à un accident.
Les normes de sécurité, dans 90 % des cas, c’est du trial & error. Un accident donne naissance à une norme pour en éviter la reproduction.

Autant certains problèmes peuvent s’imaginer et on peut mettre en place des solutions préalables (un seau d’eau à côté d’un feu de camp par exemple), pour d’autres, beaucoup d’autres, les accidents arrivent sans qu’on ait su que ça pouvait arriver (loi de Murphy, bonjour !).
Oui, il faut un accident pour mettre en place des sécurités.

C’est peut-être encore plus notable dans l’aviation, et probablement le ferroviaire aussi.
Je bosse dans l’aéronautique, secteur contrôle qualité. Et même si les normes ne le mentionnent pas, il suffit de lire deux ou trois rapports d’accidents pour voir que ça fini toujours par des actions à mettre en place pour éviter que le problème ne revienne. À la fois que la formation des pilotes, que sur la conception d’un avion et les procédures de maintenance.

S’il y a une procédure détaillée pour faire le plein d’un avion, c’est pas pour rien. C’est parce qu’il y a eu des accidents parce que le plein n’avait pas été fait correctement. C’est con, mais c’est vrai.
Certains incidents et accidents sont impossibles à prévoir. Parfois même le constructeur d’un avion ne sait pas que quelque chose pouvait mal tourner à cet endroit là.
Mais on connaît la loi de Murphy (bis) : si quelque chose peut mal tourner, alors un jour, quelqu’un fera quelque chose qui fera que ça tourne mal.

D’où le plus de garde fou possibles et une nouvelle norme de sécurité après un nouvel accident.

Il ne faut jamais oublier pour quelle raison, à cause de quel accident, une norme de sécurité existe. Des personnes ont perdu leur vie pour que vous puissiez garder la votre. Ne jamais oublier ça quand vous râlez à cause d’un organe de sécurité qui vous semble superflu ou inutile.
Et surtout, surtout, soyez assuré que le problème reviendra si vous supprimez cette sécurité. C’est garanti.

En tant que programmeur, je sais qu’il est utile de commenter son code pour ce genre de chose : quand on corrige un bug très rare, il faut noter le bug et pourquoi on a remplacé un code simple et trivial par un code sale et compliqué (mais corrigeant le bug). C’est pas parce qu’on est con qu’on a changé un bon code pour un code pourri : c’est parce qu’on y a été forcé. Et le commentaire sert à alors à éviter que, cinq ans après, on ne soit tenté de revenir en arrière car le code est moche et sale et qu’on préfère la solution propre, en ayant oublié qu’il était bugué.

En matière de sécurité et de nombre de morts, le nucléaire et la charbon sont à l’énergie ce que l’avion et la voiture, respectivement, sont aux transports.

Ainsi, en France, les morts sur la route, c’est 10 personnes par jour, mais personne n’en parle bien longtemps. À croire que c’est normal.
Alors qu’un avion de ligne qui s’écrase, il doit y en avoir un par décennie, en France, l’équivalent d’une personne par semaine environ. Ce n’est pas rien, mais c’est 70 fois moins.

Apparemment les AV intègrent une fonction qui minent des crypto pour l’utilisateur. C’est donc pas comme les sites/blog qui à une époque minaient à l’insu du visiteur, et pour le propriétaire du site.

Je rejoins donc Numérama : « pourquoi ? » car c’est pas le rôle d’un AV !

Maintenant, à l’image de certains blogs qui disaient « laissez ma page miner, ça nous soutient », j’imagine parfaitement un modèle économique où les éditeurs vont proposer une version premium payante, et une version gratuite qui mine des cryptos pour eux, avec la puissance du PC de l’utilisateur.
Un peu comme SETI@Home ou Folding@Home, mais pour des cryptos et à but lucratif.

Ça ne serait d’ailleurs pas déconnant : la pub c’est définitivement mort, car plus personne n’en veut, tout le monde le bloque et ça ne rapporte rien.

Mais les cryptos, sur un ordi qui tourne déjà à 5 % de ses capacités 8h par jour, ça peut être intéressant pour l’éditeur. La rémunération est invisible pour l’utilisateur, et si l’ordi crame, il n’accusera jamais le mineur d’avoir usé ses composants.

La capture d’écran chez Numerama affiche 76 USD pour le minage fait par un utilisateur par un antivirus. L’AV ayant disons 10 M d’utilisateurs, et même si un utilisateur sur 10 active ça, ça fait toujours 76 M$.

Maintenant j’imagine un Microsoft (qui contrôle 90 % des PC dans le monde), Apple (les 10 % restants) ou encore Google (qui contrôle 60 % des navigateurs), et qui activeraient ça sur tous les ordinateurs : ils doivent clairement en rêver !

Jadis un bon antivirus, Avira a complètement tourné du côté obscur depuis quelques temps.

M’enfin, je ne recommande plus l’installation d’aucun antivirus sous Windows 10 (et 11 ?). L’antivirus de base, Defender, convient parfaitement pour un usage domestique et normal.

Le seul risque d’avoir un seul AV dans tout la parc des Windows, serait qu’une vulnérabilité affecte un milliard d’ordi d’un coup. Et quand on connaît la réactivité de Microsoft en la matière, et celle des utilisateurs à installer les patchs, ça fait peur.

Mouais, malgré l’agitation autour de cette nouvelle, y a rien à voir : c’est juste que le 112 va peu à peu tout remplacer le 15/17/18, comme une plateforme centrale d’urgence, qu’elles soient d’ordres médicales ou autres.

Ceux qui (comme moi) avaient déjà l’habitude de faire le 112 les quelques fois où ça s’est avéré nécessaire, ne verront aucun changement.

Après je suis européen et habitué aux frontières traversées (et aux PB où le Numéro est déjà et depuis longtemps le seul à composer), donc ça explique peut-être ce réflexe, par rapport à M. Michu, 82 ans, jamais sorti de son village qui a toujours connu que le 15/17/18.

Je pense que dans un premier temps (20 ans environ), il faudrait rediriger les numéros historiques sur le 112, mais il finira par les remplacer tous…

J’ai eu des signalements comme quoi mon site est inaccessible à cause d’un problème de certificat.

Ce n’est pas mon serveur ni mon certificat qui sont en cause, mais celui qui a servi de signer le certificat de LetsEncrypt (lui même ayant signé le miens) qui a expiré aujourd’hui. Au final, c’est toute la chaîne de certification qui est plombée.

Le certificat a été mis à jour normalement depuis longtemps, mais dans certains systèmes, il ne l’est pas (certains antivirus par exemple).
J’ai également eu des retours sur une impossibilité de se connecter depuis Safari sur iOS. Moi même hier-soir j’ai été bloqué sur mon client e-mail. Cela provient sans doute que ces programmes intègrent une liste de certificats qui n’ont pas été mis à jour.

Je vais régénérer des certificats HTTPS dès ce soir.
On verra si ça résout le problème.

Si oui, tant mieux, autrement, il n’y aura rien que je puisse faire moi-même.

ÉDIT : pour info, on peut voir le certificat sur les sites web en cliquant sur le "petit cadenas" puis (sous Firefox) sur "plus d’information" et "afficher le certificat"

MàJ : certif mises à jour.

Diable, ça ce sont des news déprimantes :o

Et ça continue en dessous :

#LeBrief : Un paquet npm malveillant récupérait des mots de passe des navigateurs
#LeBrief : Poly Network : le feuilleton crypto de l’été, plus de 600 millions de dollars dérobés et… restitués
#LeBrief : L’Argus a été victime d’un « incident de sécurité », pas de fuite du côté des utilisateurs
#LeBrief : KiwiSDR : l’histoire d’une porte dérobée présente depuis des années et supprimée « discrètement »
#LeBrief : Cloudflare a bloqué une attaque DDoS de 17,2 millions de requêtes par seconde
#LeBrief : Gigabyte victime d’une cyberattaque, 112 Go de données auraient été dérobées

:(

(en vrai je crois que la rédaction vient de rentrer de vacances et qu’ils rattrapent un mois de news, mais ça reste déprimant)

ÉDIT : https://cdnx.nextinpact.com/data-next/image/bd/169581.png

D’un côté t’as l’ANSII qui dit « faites des mots passe fort », « ne les notez pas », « mettez à jour »…

… de l’autre t’as les ministères eux-mêmes qui notent des mots de passe et utilisent des vieilles versions de Windows.

Ils sont déprimant. Ce sont clairement des clochards de l’informatique.
C’est pas spécifique l’armée, hein, mais dans le cas présent, ce sont eux qui ont l’arsenal nucléaire dans leurs entrepôts. C’est vraiment pitoyable. Autant laisser traîner les codes de lancement dans le métro.

Tu lis ça : https://www.nextinpact.com/lebrief/47237/la-cedh-valide-surveillance-masse-a-certaines-conditions « la CEDH valide la surveillance de masse »

Puis ça : « une plateforme pour le big data et l’IA au service de la défense et de la sécurité »

Est-ce qu’on lit 1984 dans la foulée ?

Non parce que bon, leur plateforme, je le vois bien comme un Pokédex version police : on y entre une photo prise par une caméra de surveillance ou une GoPro de la police, l’IA compare ça à son #bigData scrappé de chez Facebook, LinkedIn, iCloud, Google et StopCovid et ça sort une fiche de la personne avec :
– nom prénom, date de naissance, religion, bord politique (merci Facebook, Twitter, Insta)
– numéros de téléphone, e-mails, adresse, comptes en ligne, plaque de voiture, numéro fiscal (merci les fichiers administratifs)
– niveau d’études, employeurs (merci LinkedIn)
– goûts en matière de culture, hobbies (Insta, Facebook)
– listes des infractions et délits commis, des factures impayées (fichiers policiers, bancaires, fiscaux)
– statut infectieux / vaccinal / historique médical (StopCovid, Doctolib, SS…)
– position actuelle, liste des derniers paiements par carte (merci iOS, Android, les banques et le fisc)
– membres de sa famille, amis, collègues (Facebook)
– …

… le tout finissant avec un score de dangerosité et un risque associé à son maintien en liberté.

Surveillance possible, en place et légale ; Bigdata possible, en place et possible ; IA en travaux mais déjà pas mal avancé : les ingrédients sont tous là pour en arriver à tout ça.

… et bien-sûr évidemment comme d’habitude au nom de la « sécurité » (alors que le nombre d’agressions n’a jamais été aussi haut).

PS : à l’époque de l’affaire Bennala, il avait traîné sur Twitter un fichier .xlsx lisant tous ceux ayant twitté à propos de l’affaire, classé par nombre de tweets (j’étais dedans). Donc cette histoire de scores à partir de données publiques sur les réseaux… c’est probablement déjà en place quelque part.

J’aime bien ce spot. C’est parlant.

Et ça dit que les véhicules sont vraiment mal conçus.

En fait, il n’y a pas d’angles morts. Ça n’existe pas. Il n’y a que des miroirs mal conçus et le choix mettre des autocollants plutôt que des dispositifs adaptés à son véhicule.

On fait des bagnoles grand publics qui ont des caméras à 360° avec possibilité d’afficher tout ça sur un écran, mais on n’est pas foutu d’installer ça sur un camion ? Toute la technologie existe, depuis longtemps, même.

Et ça, parce que c’est moins cher : le prix de la vie d’un enfant, c’est celui d’un sticker, soit tout au plus 0,50 €.

2021 et ils font encore de la sécurité par l’obscurité… C’est fatiguant…

Pour ceux qui connaissent pas : la sécurité ne réside pas dans le fait de cacher la porte d’entrée, mais dans la robustesse de la clé.

Si le programme est suffisamment sûr, suffisamment bien code, suffisamment bien audité, alors le rendre public ne poserait aucun problème de sécurité. La sécurité d’un système d’information (un SI) ne doit pas reposer sur ça. Elle doit reposer sur la taille du mot de passe et les algorithmes de chiffrement utilisés (les algos devant être, eux-mêmes, publics).

Pour info, Linux, qui fait tourner l’ISS, vos Box, votre téléphone, vos télé, tous les supercalculateurs du monde, Google, Amazon, Facebook, votre banque et votre voiture… est libre, open-source et le code source est ouvert à tout le monde, y compris vous, moi, les pirates… Mais aussi les gens bien intentionnés et les programmeurs payés par tous les acteurs qui l’utilisent (les gouvernements, la Nasa, Google, Microsoft, Intel…).

Cette ouverture permet de rendre le code le plus sûr possible et le plus exempt de défauts possible. Un code 100 % sécurisé ça n’existe pas, mais on s’en approche avec l’open-source.

Dans la vraie vie, la sécurité d’un coffre fort ne doit pas résider dans le fait qu’il soit caché. Elle doit résider dans le choix de ses matériaux, sa serrure, sont code secret, etc.
Un coffre fort en papier ne sert à rien. Même caché, il finira toujours par être trouvé. Faut pas se leurrer.
Alors que s’il est en titane blindé à l’adamantium doublé de kevlar avec une porte de tungstène qui demande 2 clés + un code à 24 lettres + une empreinte digitale + d’attendre qu’on soit un jour pair + (…), alors on pourrait le mettre devant sa porte, personne ne pourra l’ouvrir même avec de la dynamite. C’est ça, la sécurité en informatique.

Là, ce que la CADA et la France fait, c’est « non, ne regardez pas comment on a construit ça ! ». On peut dès lors imaginer le pire :
— mots de passes stockés en clair, voire codées en dur
— informations personnelles stockées en clair
— logiciels et bibliothèques obsolètes
— serveurs non protégées

Ils n’ont vraiment rien compris.

*siffle*

Un autre truc intéressant, que je ressors : https://twitter.com/G_Milot/status/1193114442340478976 .
C’est l’enregistrement de dose de radiation d’un groupe d’étudiants, entre leur décollage à Paris et leur arrivé à Fukushima (il y a plusieurs années).

+1

Et tout ça ce sont des mensonges de la banque (en même temps, une banque sans mensonges…) : la DGSP2 ne demande PAS aux banques de passer par une application mobile. Juste d’utiliser de la 2FA, et seulement pour les transactions supérieurs à 50 €.

C’est. Tout.

Quant à la méthode de 2FA, la DSP2 ne spécifie rien. C’est au choix de la banque : un yubikey pourrait faire l’affaire, par exemple.

Perso j’ai changé de banque à cause de ça : La Banque Postale demandant (via le mensonge, donc) à installer une application aux permissions totalement abusives : https://lehollandaisvolant.net/?d=2018/12/22/13/12/24-certicode-plus-chez-la-banque-postale-plus-dintrusion (ça et d’autres trucs aberrants chez eux ont fait que je suis parti).

Je suis depuis chez ING Direct (banque en ligne). Ils ne me font pas chier avec ça : actuellement et depuis le début ça passe toujours par un code à usage unique reçu par SMS (et bien-sûr toujours un code à 6 chiffres pas du tout sécurisé).

(J’ai d’ailleurs un code de parrainage ING Direct, si ça intéresse : ça fait de la thune pour vous et pour moi, en supposant qu’il fonctionne encore et si vous voulez switchez chez eux. Perso j’en suis content : 0 frais de tenue de compte, ni aucun autre frais d’ailleurs ; il n’y en a que si on a un soucis de découvert, de perte de carte, bref, en cas de problème seulement, ce qui ne m’est jamais arrivé ni chez eux ni ailleurs)

ÉDIT : Jean me signale que Boursorama propose l’authentification par Yubikey. C’est un bon point.

Parties 2 et 1 :
https://zythom.fr/2021/02/le-pc-doccasion-2e-partie/
https://zythom.fr/2021/01/le-pc-doccasion/

J’apprends l’existence de ce texte de loi : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000033206854/

En gros, si on découvre une faille de sécurité informatique quelque part dans un système (par exemple dans une mairie comme ici), la mairie pourrait très bien nous traîner en justice et dire « c’est vous qui avez tout piraté ! ».

SAUF du coup, si on transmet de bonne foi l’existence de cette faille à l’ANSSI et qu’elle se charge de contacter la mairie (dans l’exemple).

C’est moi ou ce n’est pas sans rappeler l’affaire Bluetooff ?