Accident dans une mine en Pologne : plusieurs morts et disparus à la suite d’une explosion à 1 000 mètres de profondeur

En matière de sécurité et de nombre de morts, le nucléaire et la charbon sont à l’énergie ce que l’avion et la voiture, respectivement, sont aux transports.

Ainsi, en France, les morts sur la route, c’est 10 personnes par jour, mais personne n’en parle bien longtemps. À croire que c’est normal.
Alors qu’un avion de ligne qui s’écrase, il doit y en avoir un par décennie, en France, l’équivalent d’une personne par semaine environ. Ce n’est pas rien, mais c’est 70 fois moins.

#20978  

https://www.lemonde.fr/international/article/2022/04/20/plusieurs-morts-et-disparus-dans-un-accident-de-mine-en-pologne_6122890_3210.html

À quel moment a-t-on demandé aux antivirus de miner de la crypto ? - Numerama

Apparemment les AV intègrent une fonction qui minent des crypto pour l’utilisateur. C’est donc pas comme les sites/blog qui à une époque minaient à l’insu du visiteur, et pour le propriétaire du site.

Je rejoins donc Numérama : « pourquoi ? » car c’est pas le rôle d’un AV !

Maintenant, à l’image de certains blogs qui disaient « laissez ma page miner, ça nous soutient », j’imagine parfaitement un modèle économique où les éditeurs vont proposer une version premium payante, et une version gratuite qui mine des cryptos pour eux, avec la puissance du PC de l’utilisateur.
Un peu comme SETI@Home ou Folding@Home, mais pour des cryptos et à but lucratif.

Ça ne serait d’ailleurs pas déconnant : la pub c’est définitivement mort, car plus personne n’en veut, tout le monde le bloque et ça ne rapporte rien.

Mais les cryptos, sur un ordi qui tourne déjà à 5 % de ses capacités 8h par jour, ça peut être intéressant pour l’éditeur. La rémunération est invisible pour l’utilisateur, et si l’ordi crame, il n’accusera jamais le mineur d’avoir usé ses composants.

La capture d’écran chez Numerama affiche 76 USD pour le minage fait par un utilisateur par un antivirus. L’AV ayant disons 10 M d’utilisateurs, et même si un utilisateur sur 10 active ça, ça fait toujours 76 M$.

Maintenant j’imagine un Microsoft (qui contrôle 90 % des PC dans le monde), Apple (les 10 % restants) ou encore Google (qui contrôle 60 % des navigateurs), et qui activeraient ça sur tous les ordinateurs : ils doivent clairement en rêver !

#20697  

https://www.numerama.com/tech/815901-a-quel-moment-a-t-on-demande-aux-antivirus-de-miner-de-la-crypto.html

Après Norton 360, Avira intègre lui aussi un cryptomineur à son antivirus

Jadis un bon antivirus, Avira a complètement tourné du côté obscur depuis quelques temps.

M’enfin, je ne recommande plus l’installation d’aucun antivirus sous Windows 10 (et 11 ?). L’antivirus de base, Defender, convient parfaitement pour un usage domestique et normal.

Le seul risque d’avoir un seul AV dans tout la parc des Windows, serait qu’une vulnérabilité affecte un milliard d’ordi d’un coup. Et quand on connaît la réactivité de Microsoft en la matière, et celle des utilisateurs à installer les patchs, ça fait peur.

#20695  

https://www.nextinpact.com/lebrief/49415/apres-norton-360-avira-integre-lui-aussi-cryptomineur-a-son-antivirus

Le numéro unique d’appel d’urgence adopté par le Parlement

Mouais, malgré l’agitation autour de cette nouvelle, y a rien à voir : c’est juste que le 112 va peu à peu tout remplacer le 15/17/18, comme une plateforme centrale d’urgence, qu’elles soient d’ordres médicales ou autres.

Ceux qui (comme moi) avaient déjà l’habitude de faire le 112 les quelques fois où ça s’est avéré nécessaire, ne verront aucun changement.

Après je suis européen et habitué aux frontières traversées (et aux PB où le Numéro est déjà et depuis longtemps le seul à composer), donc ça explique peut-être ce réflexe, par rapport à M. Michu, 82 ans, jamais sorti de son village qui a toujours connu que le 15/17/18.

Je pense que dans un premier temps (20 ans environ), il faudrait rediriger les numéros historiques sur le 112, mais il finira par les remplacer tous…

#20561  

https://www.nextinpact.com/lebrief/48861/le-numero-unique-dappel-durgence-adopte-par-parlement

Plus d'Internet pour des millions de smartphones le 30 septembre ? Pas si vite

J’ai eu des signalements comme quoi mon site est inaccessible à cause d’un problème de certificat.

Ce n’est pas mon serveur ni mon certificat qui sont en cause, mais celui qui a servi de signer le certificat de LetsEncrypt (lui même ayant signé le miens) qui a expiré aujourd’hui. Au final, c’est toute la chaîne de certification qui est plombée.

Le certificat a été mis à jour normalement depuis longtemps, mais dans certains systèmes, il ne l’est pas (certains antivirus par exemple).
J’ai également eu des retours sur une impossibilité de se connecter depuis Safari sur iOS. Moi même hier-soir j’ai été bloqué sur mon client e-mail. Cela provient sans doute que ces programmes intègrent une liste de certificats qui n’ont pas été mis à jour.

Je vais régénérer des certificats HTTPS dès ce soir.
On verra si ça résout le problème.

Si oui, tant mieux, autrement, il n’y aura rien que je puisse faire moi-même.

ÉDIT : pour info, on peut voir le certificat sur les sites web en cliquant sur le "petit cadenas" puis (sous Firefox) sur "plus d’information" et "afficher le certificat"

MàJ : certif mises à jour.

#20426  

https://www.numerama.com/tech/742775-plus-dinternet-pour-des-millions-de-smartphones-le-30-septembre-pas-si-vite.html

nxi-failles.png (image)

Diable, ça ce sont des news déprimantes :o

Et ça continue en dessous :

#LeBrief : Un paquet npm malveillant récupérait des mots de passe des navigateurs
#LeBrief : Poly Network : le feuilleton crypto de l’été, plus de 600 millions de dollars dérobés et… restitués
#LeBrief : L’Argus a été victime d’un « incident de sécurité », pas de fuite du côté des utilisateurs
#LeBrief : KiwiSDR : l’histoire d’une porte dérobée présente depuis des années et supprimée « discrètement »
#LeBrief : Cloudflare a bloqué une attaque DDoS de 17,2 millions de requêtes par seconde
#LeBrief : Gigabyte victime d’une cyberattaque, 112 Go de données auraient été dérobées

:(

(en vrai je crois que la rédaction vient de rentrer de vacances et qu’ils rattrapent un mois de news, mais ça reste déprimant)

ÉDIT : https://cdnx.nextinpact.com/data-next/image/bd/169581.png

#20314  

https://lehollandaisvolant.net/img/e0/nxi-failles.png

L'état-major des armées partage un mot de passe en clair

D’un côté t’as l’ANSII qui dit « faites des mots passe fort », « ne les notez pas », « mettez à jour »…

… de l’autre t’as les ministères eux-mêmes qui notent des mots de passe et utilisent des vieilles versions de Windows.

Ils sont déprimant. Ce sont clairement des clochards de l’informatique.
C’est pas spécifique l’armée, hein, mais dans le cas présent, ce sont eux qui ont l’arsenal nucléaire dans leurs entrepôts. C’est vraiment pitoyable. Autant laisser traîner les codes de lancement dans le métro.

#20129  

https://www.nextinpact.com/article/46145/letat-major-armees-partage-mot-passe-en-clair

Atos et Thales accouchent d’Athea : une plateforme pour le big data et l’IA au service de la défense et de la sécurité

Tu lis ça : https://www.nextinpact.com/lebrief/47237/la-cedh-valide-surveillance-masse-a-certaines-conditions « la CEDH valide la surveillance de masse »

Puis ça : « une plateforme pour le big data et l’IA au service de la défense et de la sécurité »

Est-ce qu’on lit 1984 dans la foulée ?

Non parce que bon, leur plateforme, je le vois bien comme un Pokédex version police : on y entre une photo prise par une caméra de surveillance ou une GoPro de la police, l’IA compare ça à son #bigData scrappé de chez Facebook, LinkedIn, iCloud, Google et StopCovid et ça sort une fiche de la personne avec :
– nom prénom, date de naissance, religion, bord politique (merci Facebook, Twitter, Insta)
– numéros de téléphone, e-mails, adresse, comptes en ligne, plaque de voiture, numéro fiscal (merci les fichiers administratifs)
– niveau d’études, employeurs (merci LinkedIn)
– goûts en matière de culture, hobbies (Insta, Facebook)
– listes des infractions et délits commis, des factures impayées (fichiers policiers, bancaires, fiscaux)
– statut infectieux / vaccinal / historique médical (StopCovid, Doctolib, SS…)
– position actuelle, liste des derniers paiements par carte (merci iOS, Android, les banques et le fisc)
– membres de sa famille, amis, collègues (Facebook)
– …

… le tout finissant avec un score de dangerosité et un risque associé à son maintien en liberté.

Surveillance possible, en place et légale ; Bigdata possible, en place et possible ; IA en travaux mais déjà pas mal avancé : les ingrédients sont tous là pour en arriver à tout ça.

… et bien-sûr évidemment comme d’habitude au nom de la « sécurité » (alors que le nombre d’agressions n’a jamais été aussi haut).

PS : à l’époque de l’affaire Bennala, il avait traîné sur Twitter un fichier .xlsx lisant tous ceux ayant twitté à propos de l’affaire, classé par nombre de tweets (j’étais dedans). Donc cette histoire de scores à partir de données publiques sur les réseaux… c’est probablement déjà en place quelque part.

#20104  

https://www.nextinpact.com/lebrief/47235/atos-et-thales-accouchent-dathea-plateforme-pour-big-data-et-lia-au-service-defense-et-securite

Madame Bovary sur Twitter : ""Méfiez-vous des angles morts, ils portent très bien leur nom" Un spot choc pour rendre la @RoutePlusSure conçu avec @agencebabel et @ServiceplanFR… https://t.co/LQCuF83ruQ"

J’aime bien ce spot. C’est parlant.

Et ça dit que les véhicules sont vraiment mal conçus.

En fait, il n’y a pas d’angles morts. Ça n’existe pas. Il n’y a que des miroirs mal conçus et le choix mettre des autocollants plutôt que des dispositifs adaptés à son véhicule.

On fait des bagnoles grand publics qui ont des caméras à 360° avec possibilité d’afficher tout ça sur un écran, mais on n’est pas foutu d’installer ça sur un camion ? Toute la technologie existe, depuis longtemps, même.

Et ça, parce que c’est moins cher : le prix de la vie d’un enfant, c’est celui d’un sticker, soit tout au plus 0,50 €.

#20079  

https://twitter.com/MmeBovaryAgence/status/1393118232488337408

Le ministère de la Santé et la CADA refusent de rendre public le code du Health Data Hub

2021 et ils font encore de la sécurité par l’obscurité… C’est fatiguant…

Pour ceux qui connaissent pas : la sécurité ne réside pas dans le fait de cacher la porte d’entrée, mais dans la robustesse de la clé.

Si le programme est suffisamment sûr, suffisamment bien code, suffisamment bien audité, alors le rendre public ne poserait aucun problème de sécurité. La sécurité d’un système d’information (un SI) ne doit pas reposer sur ça. Elle doit reposer sur la taille du mot de passe et les algorithmes de chiffrement utilisés (les algos devant être, eux-mêmes, publics).

Pour info, Linux, qui fait tourner l’ISS, vos Box, votre téléphone, vos télé, tous les supercalculateurs du monde, Google, Amazon, Facebook, votre banque et votre voiture… est libre, open-source et le code source est ouvert à tout le monde, y compris vous, moi, les pirates… Mais aussi les gens bien intentionnés et les programmeurs payés par tous les acteurs qui l’utilisent (les gouvernements, la Nasa, Google, Microsoft, Intel…).

Cette ouverture permet de rendre le code le plus sûr possible et le plus exempt de défauts possible. Un code 100 % sécurisé ça n’existe pas, mais on s’en approche avec l’open-source.

Dans la vraie vie, la sécurité d’un coffre fort ne doit pas résider dans le fait qu’il soit caché. Elle doit résider dans le choix de ses matériaux, sa serrure, sont code secret, etc.
Un coffre fort en papier ne sert à rien. Même caché, il finira toujours par être trouvé. Faut pas se leurrer.
Alors que s’il est en titane blindé à l’adamantium doublé de kevlar avec une porte de tungstène qui demande 2 clés + un code à 24 lettres + une empreinte digitale + d’attendre qu’on soit un jour pair + (…), alors on pourrait le mettre devant sa porte, personne ne pourra l’ouvrir même avec de la dynamite. C’est ça, la sécurité en informatique.

Là, ce que la CADA et la France fait, c’est « non, ne regardez pas comment on a construit ça ! ». On peut dès lors imaginer le pire :
— mots de passes stockés en clair, voire codées en dur
— informations personnelles stockées en clair
— logiciels et bibliothèques obsolètes
— serveurs non protégées

Ils n’ont vraiment rien compris.

#20020  

https://www.nextinpact.com/lebrief/46913/le-ministere-sante-et-cada-refusent-rendre-public-code-health-data-hub

Fukushima n’a pas provoqué de morts, et ça fait enrager les écolos | Hashtable

*siffle*

Un autre truc intéressant, que je ressors : https://twitter.com/G_Milot/status/1193114442340478976 .
C’est l’enregistrement de dose de radiation d’un groupe d’étudiants, entre leur décollage à Paris et leur arrivé à Fukushima (il y a plusieurs années).

#19893  

http://h16free.com/2021/03/12/68195-fukushima-na-pas-provoque-de-morts-et-ca-fait-enrager-les-ecolos

Non vraiment, j'adore la sécurité selon les banques - Liens en vrac de sebsauvage

+1

Et tout ça ce sont des mensonges de la banque (en même temps, une banque sans mensonges…) : la DGSP2 ne demande PAS aux banques de passer par une application mobile. Juste d’utiliser de la 2FA, et seulement pour les transactions supérieurs à 50 €.

C’est. Tout.

Quant à la méthode de 2FA, la DSP2 ne spécifie rien. C’est au choix de la banque : un yubikey pourrait faire l’affaire, par exemple.

Perso j’ai changé de banque à cause de ça : La Banque Postale demandant (via le mensonge, donc) à installer une application aux permissions totalement abusives : https://lehollandaisvolant.net/?d=2018/12/22/13/12/24-certicode-plus-chez-la-banque-postale-plus-dintrusion (ça et d’autres trucs aberrants chez eux ont fait que je suis parti).

Je suis depuis chez ING Direct (banque en ligne). Ils ne me font pas chier avec ça : actuellement et depuis le début ça passe toujours par un code à usage unique reçu par SMS (et bien-sûr toujours un code à 6 chiffres pas du tout sécurisé).

(J’ai d’ailleurs un code de parrainage ING Direct, si ça intéresse : ça fait de la thune pour vous et pour moi, en supposant qu’il fonctionne encore et si vous voulez switchez chez eux. Perso j’en suis content : 0 frais de tenue de compte, ni aucun autre frais d’ailleurs ; il n’y en a que si on a un soucis de découvert, de perte de carte, bref, en cas de problème seulement, ce qui ne m’est jamais arrivé ni chez eux ni ailleurs)

ÉDIT : Jean me signale que Boursorama propose l’authentification par Yubikey. C’est un bon point.

Le PC d’occasion – 3e partie | Zythom

Parties 2 et 1 :
https://zythom.fr/2021/02/le-pc-doccasion-2e-partie/
https://zythom.fr/2021/01/le-pc-doccasion/

J’apprends l’existence de ce texte de loi : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000033206854/

En gros, si on découvre une faille de sécurité informatique quelque part dans un système (par exemple dans une mairie comme ici), la mairie pourrait très bien nous traîner en justice et dire « c’est vous qui avez tout piraté ! ».

SAUF du coup, si on transmet de bonne foi l’existence de cette faille à l’ANSSI et qu’elle se charge de contacter la mairie (dans l’exemple).

C’est moi ou ce n’est pas sans rappeler l’affaire Bluetooff ?

#19804  

https://zythom.fr/2021/02/le-pc-doccasion-3e-partie/

Selon des chercheurs, les favicons peuvent être utilisées pour vous pister

En mettant un ID unique dans la favicon, qui est ensuite mis en cache puis ressorti par le navigateur lors de la prochaine visite (et envoyé au serveur via Ajax pour analyse et identification) ?

Ça semble crédible.

Solution : vider le cache en fermant le nav. Ceci dit, je me demande si les favicon ne sont pas mis dans un cache spécial, plus robuste, donc faire attention.

#19781  

https://www.nextinpact.com/lebrief/45708/selon-chercheurs-favicons-peuvent-etre-utilisees-pour-vous-pister

Les députés rejettent BigBrotherSecu

Je ne vais pas me plaindre, mais je regrette que les arguments ne soient que techniques et logistiques. Le pognon, les coûts, la difficulté… y a que ça qui les intéresse ?

Ils s’en foutent tellement de la liberté ?

#19697  

https://www.nextinpact.com/lebrief/44785/les-deputes-rejettent-bigbrothersecu