GastronokThePonderous

Oh, hé, doucement, #NotAllMollusques

J'admire la patience de cet homme. J'ai l'impression que c'est toujours le même procédé de discredit qui est utilisé. 1. La liberté c'est un truc d'intellos et c'est du conceptuel pas du pratique La défense de la liberté et de l'Etat de droit, aussi sincère soit-elle, n'est-elle pas l'apanage de quelques intellectuels libéraux comme vous ? 2. Si la science dit que c'est pour notre bien alors pourquoi s'y opposer? Si on est d'accord avec ce que nous disent les scientifiques, à savoir que le vaccin reste notre meilleure arme pour lutter contre cette épidémie en réduisant les risques de contamination comme les formes graves du Covid-19, quel problème y aurait-il à ce que le gouvernement fasse tout ce qui est en ses moyens pour doper la couverture vaccinale ? Ils se rendent compte de la question qu'il pose? tout ce qui est en ses moyens Mais merde, c'est l'Etat, tout ce qu'il a en plus de n'importe qui d'autre c'est des flingues, des traîne sabre et un racket à grande échelle. Tout ce qui est en ses moyens inclue des executions sommaires dans les rues! Je préfère croire à la connerie sans malice mais là ça fait un an et demi qu'on nous ressert toujours la même bouillie. Je commence à me dire qu'ils pensent juste être du bon coté du flingue le jour où l'Etat fera tout ce qui est en ses moyens. 3. N'oubliez-vous pas que c'est le virus qui est liberticide, en nous empêchant de vivre normalement depuis un an et demi, et non pas une supposée "dictature sanitaire" ? Et c'est la grèle qui prélève et redistribue les subventions? Je savais pas que maintenant on faisait dans l'animisme. Pour l'instant ça a jamais été un virus que j'ai vu patrouiller les rues pour distribuer des prunes. ... Ils sont en train de me faire devenir Anarcap.

Donc en attendant on peut toujours saboter en se montrant récalcitrant, comme recommandé par les manuels de sabotage. Pas besoin de poser des bombes ou de buter de l'occupant pour lui faire la vie dure, il suffit de se montrer le plus anti productif possible et lui faire dépenser un max d'énergie pour son fonctionnement. C'est facile de réprimer quelqu'un pour avoir foutu le feu à un centre des impôts. ça l'est beaucoup moins pour avoir fait perdre son temps à tout un service de la préfecture ou foutu la merde dans un système de traitement des données par batch en remplissant mal son petit cerfa.

Ce qui m'attriste le plus c'est le nombre de gens qui s'attaquent à la méthode même. Comme si la Justice perdait sa légitimité du moment où elle rendrait une décision contraire à l'opinion politique dominante. On a déjà qu'une séparation des pouvoirs bancale (deux pouvoirs et une autorité), mais ça leur suffit pas, Ils se lamentent de ne pas avoir de totalitarisme.

Ya encore quelqu'un qui pense que c'était pas dans le cahier des charges de base??

presse le buzzer Parce qu'on est nuls? Parce que la CNIL est forte avec les faible et faible avec les forts? Je suis désolé mais mon rasoir de Hanlon commence à s’émousser sérieusement...

Quelque part ça me rassure, je me sens tellement moins seul. Numéro de sécu et autres données sensibles dans des documents google drive protégés par un mot de passe contenant 4 chiffres (devinez lesquels) et... le nom de la boite. Mot de passes à haut privilèges fêtant leurs 10 ans et passés en mode tradition orale (facile ils font que 6 caractères dont 1 chiffre), variante avec un mdp de compte admin local déployé partout. Les devs... Ooooooh les devs... Serveurs webs, j'ai vu, j'ai eu aussi des trucs rigolos quand là où j'étais ils ont découvert docker... Des conteneurs hors d'âge tournant en mode root avec des dossiers critiques sur la machines montés par le conteneur. Sinon j'aime bien aussi quand ils décident de s'improviser spécialiste sécurisation de l'authent. en vrac: mots de passes en clair dans la db, mots de passe chiffrés par une clé symétrique... contenue dans une variable d'environnement (oui, c'était aussi dans le script de déploiement) ou directement dans le code source de l'appli web, tokens d'authentification séquentiels "mais c'est sécurisé, on prend l'heure à la milliseconde près"

"D'ailleurs j'ai un NDA qui dit qu'on m'arrachera les yeux et la langue si je moufte" ?

Je ne pense pas que ça tiendra bien longtemps si on cesse de nous prêter.

Bon et sinon, un petit marché noir pour faux e-ausweis, ça intéresse quelqu'un? D'une pierre deux coups, on fait remonter le cours des cryptos en même temps!

Paradoxalement, je suis plutôt optimiste. Le fait qu'on en parle, la manière excessive dont on en parle (Le président du Sénat sur France In(fo|ter) cette semaine demandant si "le cannabis de Traoré qui a commis ce crime atroce, il était récréatif lui?") et la situation actuelle me font espérer une légalisation à moyen terme (3 ans max). Après il y a de grandes chances que ça soit pour tuer le secteur à grand coups de taxes dans le museau (on ne change pas une équipe qui gagne), ce qui peux amener une situation rigolote d'offre légale mais de marché noir toujours florissant. Pourquoi? Aujourd'hui, à la veille d'élections qui peuvent servir de répétition des discours pour la présidentielle (si tant est que le résultat convienne et qu'on nous laisse bien faire notre pantomime quinquennale sans nous opposer la "prudence sanitaire" face au "risque de non-port du masque", "risque de contamination au variant" et, s'il le faut, "risque de saturnisme foudroyant et contagieux"), on fait l'essai d'un ratissage de voix. Tiens, taper sur les drogués, est ce que ça marche? Si on les amalgame avec les antisémites, les islamistes? Maintenant regardons de manière réaliste ce dont héritera notre prochain tyran. Une économie en morceaux, des marchés qui seront probablement d'autant plus prudent à nous prêter que: On aura une campagne tournant sans doute autour du thème de "on remboursera pas la dette covid" ou "sinon, on repackage ça en emprunt perpetuel, avec un mars et un bisou, ça passe?" ou encore "ces salauds de boches/de radins du Nord rembourseront à notre places" Probablement de très bon scores pour les isolationnistes et les autoritaires face à tout ça, premier pays en termes de nombre de consommateurs, dont beaucoup voudraient juste qu'on leur foute la paix, qu'on les laisse avoir une vie pro/vie de famille sans risquer de se retrouver au gnouf pour un moment de détente le vendredi soir. Je pense que ça prendra la forme d'un "grand plan prévention qui passera par la création de filières d'excellences de production dont les profits seront redirigés vers la santé pour donner plus de moyens à nos zopitaux" Que le nouveau constructiviste en chef soit de droite ou de gauche. Pourquoi? Parce qu'il n'y aura plus un rond et qu'il y a peu de chance qu'on nous prête sans un assainissement en profondeur des finances publiques. Ce qui n'arrivera jamais tant qu'il restera quelque chose à taxer ou à ponctionner.

Mais quel talent! j'ai encore du chemin à faire

Bon, il m'a pris l'envie aujourd'hui de créer un sujet pour échanger avec d'autres aviateurs sur le forum. je me suis dit que quelque chose sur le vol à voile/moteur dans la section hobby serait sympa, d'autant qu'après une recherche il n'y avait rien du tout. J'ai pas les droits pour, semble-t-il @Neomatix sais tu si un tel topic existe, serais tu tenté pour le créer?

Du métier, c'est vague. je ne suis pas cryptographe mais je suis payé à maintenir mes clients en conformité vis à vis d'exigences de qualité/sécurité. Et aussi à faire en sorte qu'ils ne soient pas trop facilement poutrables par le premier péquin venu, tant que ça reste dans le budget alloué

(A la relecture je vois plusieurs opportunités de clarification/reformulation, hélas je ne trouve pas de bouton me permettant d'éditer/supprimer le message précédent toutes mes excuses)

De manière intéressante on a déjà un cas dans le monde de ce type d'exigence et son implémentation. La Corée du nord. ça ne surprendra personne mais l'utilisation d'un ordinateur/smartphone y est conditionnée par l'installation d'un certain nombre de logiciels espions. Ils ont aussi créé leur propre OS (Red Star OS), une distribution linux. Du point de vue implémentation je vois plusieurs problèmes: *échelle: jusque là on est incapable de fournir l'infrastructure pour les cours à distance, je parlerai pas des projets informatiques de grande ampleur. Imaginons qu'on puisse faire faire ça par un prestataire externe pour résoudre cette question Controle: implémenter sans trop de trou un tel système reviendrait à avoir une chaine de confiance complète allant du hardware (puce TPM avec firmware signé par l'état) jusqu'au système d'exploitation. Aujourd'hui c'est un joyeux bordel et je ne pense pas notre administration capable de faire tenir une infrastructure à clé publique qui soit à la fois suffisament rigoureuse dans sa gestion et sécurisation pour être intégrée par les constructeurs ET politiquement acceptable. Pour mémo, il y a un autre état qui cherche à déployer ses certificats sur les téléphones des gens pour faire de l'interception et des écoutes c'est le Kazakhstan. Il s'est heurté au fait que les navigateurs n'ont que moyennement apprécié ces tentatives de compromission de la confidentialité des données. Il faudrait donc arriver à forcer la main aux fabricants de téléphones qui ont au moins autant à perdre qu'avaient les navigateurs sur une question similaire. sans cela tout ce qu'on aura c'est une "suggestion" qui pourra être facilement contournée en désinstallant les applications/installant des systèmes d'exploitation alternatifs. Sécurité: si les clés de chiffrement correspondant aux certificats installés sont compromis par un tiers (acteur étatique) il pourra installer n'importe quoi sur les smartphones sans faire couiner de système de sécurité, ce jusqu'au niveau du système d'exploitation lui même. ça serait open bar. on peux dire "oui mais c'est déjà le cas avec samsung/apple/google" certes. Mais ils ont quand même un meilleur historique de préservation de leurs actifs cryptographique que l'état Français n'a avec tous ses projets informatiques Ce qui nous laisse la possibilité énoncée hier sur France Info: faudra un qr code certifié mais pas obligatoirement installé sur un téléphone. De manière intéressante il a été indiqué que: ce QR code est infalsifiable car "certifié" ce QR code est interopérable avec les systèmes d'autres pays d'Europe. Pour moi il n'y a qu'un type d'architecture qui puisse répondre à ces deux critères et qui soit réalistiquement déployable en quelques semaines par nos Saigneurs: le QR code ne contient qu'un lien vers un site d'hébergement de résultat de tests/vaccins celui-ci donne un résultat signé cryptographiquement indiquant "monsieur dupont a été vacciné le X/X/20XX", ainsi qu'un certificat (similaire à ceux utilisés pour https) appartenant à l'état français. Les différents Etats échangent leurs certificats et les douaniers n'ont besoin que d'une appli qui récupère le résultat d'examen au bout du qr code, vérifie que la connexion est bien signée par l'Etat d'où vient le voyageur et enfin que le nom dans la partie signée corresponde à la carte d'identité du voyageur. Maintenant la partie rigolote, où et comment est ce que ça peut foirer: vulnérabilité sur la vérification de chaines de certificats, si la chaine est trop longue/boucle est ce que l'appli va dire "échec de vérification" ou valider par défaut? (en gros si je monte mon propre site et que je crée un certificat "Gastro1" qui signe plein plein plein de "GastroX" avec en bout de chaine "masanté.pastotalitaires.gouv.clowns" est ce que l'appli du douanier va pas juste regarder à la fin et dire "OK c'est bon" plutot que tourner pendant 10 minutes à analyser toute la chaine) perte des clés: le stagiaire poste sur github la clé secrète du certificat signant les résultats d'examens vulnérabilité sur le parsing du QR code: ba oui c'est pas simple de lire des QR code, ya pas tant de librairies que ça pour le faire et nos prestataires ont souvent tendance à prendre des vieilles versions parce qu'elles fonctionnent/sont déjà packagées dans des librairies maisons de l'entreprise (voir récemment celebritte et Signal où ils se sont fait coincer à utiliser une version mathusalémique de ffmpeg pourrie de vulnérabilités) dans ce cas là, bricoler un qr code qui crash le lecteur/affiche de fausses informations pourrait se faire mais la difficulté est que chaque pays aura probablement une appli différente pour lire ces QR codes Attaque au niveau de la création des informations de vaccination. Les labos/entités conduisant les tests/vaccins ne sont pas tous à la pointe de la sécurité et peuvent être ciblés pour: vol des clés de signature pour faire de faux certificats signés par le labo machin utilisation de liaisons sécurisées pour uploader de faux certificats sur les serveurs de l'état si seul l'état signe les résultats de vaccins D'un point de vue économique, l'attaque numéro 3 (librairie de parsing de qr code) est celle qui fait le moins sens pour un attaquant, on peux donc l'oublier. l'attaque N°2 souffre du même problème (différentes implémentations selon les pays) mais est beaucoup moins couteuse à essayer, de plus c'est facile de monter un oracle: on tente de passer la frontière avec un qrcode test légèrement effacé (les QR code supportent les codes correcteur d'erreur donc c'est plausiblement déniable qu'on tente d'attaquer le système) et s'il ne marche pas on peut toujours se rabattre sur un vrai qr code. ça laisse l'attaque des labos. Simple. Social engineering, lacher de clés USB, surveillance du personnel... on tombe dans du très standard et plus nombreux seront les entités à pouvoir créer des certificats de test/vaccination plus large sera la surface d'attaque. Enfin, bien sûr, on peut toujours corrompre un médecin/acteur interne d'une de ces entités pour avoir de faux certificats mais c'est trop facile et c'est pas drôle. Je me demande combien ça irait chercher sur Tor des faux certificats de vaccination une fois que les frontières commenceront à rouvri...

Je te sens dubitatif, je serais un esprit chagrin, je dirais que Tunisite pas à faire le jeu de l'extraime-drouate!

Bonjour, Je suis une cyberlimace, avide lecteur de Contrepoint. Dans la vie je travaille sur un ordinateur.