oinkoink_daotter a écrit 1695 commentaires

Non pour le coup, c'est la loi, pas une jurisprudence secrète. Que ce soit contestable, ok, mais la règle est claire et la BNP a peut-être un peu trop tiré sur la corde.

Ne viens pas me dire qu'on ne pourrait pas transposer ça au cas NT4 (aujourd'hui pour péter IOS, il faut un exploit userland pour faire exécuter le code à une appli, que ce code pète les mécanismes de signature de code et qu'enfin il utilise une faille pour passer admin) :-)

Pour installer un de ces modules crypto, il faut etre admin, et NT4 n'a jamais eu de 'windows update', l'install est a faire manuellement en admin.

Je sais bien. Mais on parle de windows NT 4, là. Rappelle moi quel brouteur on trouvait sur NT4 sur la fin ? Et le nombre d’exécution de code arbitraire qu'il y a eu dessus ? Ca aurait bien collé avec un petit exploit local et paf, le moteur crypto.

Je dis ça parce que ça colle bien avec ce que disait le patron des RG ou de la DGSE : aujourd'hui, on ne sait pas vraiment péter les protocoles crypto, il est beaucoup plus facile de convaincre les machines de parler en clair.

Ok, ca nécessite une machine compromise. Ca me va. Pas évident à faire sur un iPhone par contre (puisque c'est de ça dont on parle ici).

Le problème (entre autres) de la certification c'est que le processus n'est pas public.

Et que le modèle certifié n'est pas nécessairement celui du commerce. Et que détecter ça n'est pas évident quand on commence à parler de FPGA.

NSAKEY

LOL ! C'est quoi cette affaire dis moi donc ? Allez, si c'est une backdoor cela devrait etre simple de prendre les binaires de l'epoque et demontrer comment l'exploiter !

Hop hop hop. Tu pars en sucette là. Reprenons la base. Dans NT4, il a deux (ou trois suivant l'air du temps) clefs permettant de faire accepter un module crypto à l'OS. Une de ces deux clefs s'appellait NSAKEY. Plusieurs explications ont été avancées dans l'article wikipedia cité que j'ai cité plus haut. Microsoft n'a pas été très maline d'appeler cette clef comme ça, mais par contre deux choses sont certaines :

1. On ne sera jamais sûr que cette clef était opérée uniquement par Microsoft, surtout après les révélations récentes, quoi qu'en disent Microsoft et la NSA.
2. Il n'est pas possible de faire un exploit sur cette "backdoor" sans avoir la clef en question (on parle de signature de binaires, la).

Donc s'il te plaît, arrête de dire que "si c'est une backdoor, il serait simple de […]". Ca pourrait en être une, ou pas, mais on ne saura jamais.

Ça a l'air quand même très fantasmatique, écrit comme ça.

Tu te fous de moi. Les donnees transmises tout le monde peut les voir, il n'y a AUCUN probleme a intercepter la transmission de donnees sur un canal SSL et le voir non-encrypte, c'est le BA-BA de la securite informatique ca.

Ben vazy explique. Parce que sauf compromission de CA, vérification en carton ou un protocole crypto tout pourri genre DES, je ne vois pas trop comment tu pourrais le faire. Si "c'est le BA-BA de la securite informatique", toutes les transactions sensibles (genre banque) sont plus que comprises :-/

Si on va par là, on devrait supprimer tous les livres parce que tout le monde ne sait pas lire et les films en troidé parce que tout le monde n'a pas de lunettes.
On peut dérouler le raisonnement pour n'importe quelle évolution technologique

La vie nationale est du ressort des députés, de plus en plus soumis à l'agenda du gouvernement.

Quasi complétement soumis en fait si tu regardes l'article 48 du règlement de l'AN qui pointe lui même notamment sur l'article 48 de la constitution, qui précise comment ça marche. Sans compter qu'en plus la plupart des PPL de la majorité sont en fait des projets de loi déguisés.

Tiens, ma touche y est blo

Il n'en a plus. Mais il en a eu : http://features.techworld.com/operating-systems/2194/intel-strips-x86-from-itanium/ :-)

Tout n'a pas été francisé dans le MO5 : le basic restait en anglais !

C'est des conneries et ça ne règlera pas le problème fondamental des basebands

La liberte absolue d'expression ne s'applique pas aux miloufs

En fait, non, la liberté absolue d'expression, ça ne marche pas vraiment quand on parle de trucs sérieux :
http://www.law.cornell.edu/uscode/text/18/798

(le mot clef est whoever).

En France, ce qu'a fait Snowden serait couvert pour les articles ayant trait à la protection du secret de la défense nationale. Tout est écrit dans l'article 413 du code pénal, alineas 9 à 12 (ici, ce serait 7 ans de gniouf). Après, il y a tout ce qui est écrit dans l'IGI1300. J'imagine que même libertariens comme ils sont perçus, nos amis américains disposent du même genre de législation.

Oui, mais tu comprends, là on parle de protéger des intérêts, donc tous les moyens sont bon. Les principes c'est pour les autres.

A front [:aloyd] /o\

Un fork de openssl est, compte-tenu du contexte une bonne chose, mais ce logiciel va-t'il être implanté sur les serveurs? Dans les navigateurs? Quand?

Sachant que les navigateur web n'utilisent pas openssl (enfin, ni chrome ni firefox, qui utilisent NSS)

Oui, dans la mesure ou c'est un windows de millésime voisin de celui installé au moment de la vente de la machine :).

Je ne comprends pas trop pourquoi tout ce merdier ressort maintenant. Ca fait genre un ou deux ans que le fonctionnement du machin a été publié, la fonction dans le bios qui télécharge un driver durant la séquence de boot de Windows, etc.

Voir même plus que deux ans en fait :
http://pro.01net.com/editorial/525126/dell-refuse-de-corriger-une-grosse-faille-de-securite/
http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=publication&name=Deactivate_the_Rootkit

Ben non. Le but de genre de friture est de survivre à une reinstallation de l'OS ou un changement de DD. Avec un soft, c'est impossible. Donc mettre ça dans le BIOS est très censé.
Après sur le fond, il faudrait voir en vrai comment ça marche et si la "physical presence" est vraiment nécessaire, comme c'est imposé par exemple par spécification sur les TPM (au moins 1.2).

Wai, en même temps, heureusement qu'ils l'ont fait. Parce que flash sur mobile, c'était quand même bien pourrave.

Au travers de la fonction iTunes Match (abonnement à 30 roros par an), iTunes te permet d'accéder à toute ta musique au travers du cloud. Ca se fait de la façon suivante : itunes scanne ta bibliothèque identifie celles qui sont connues d'iTunes et celles qui ne sont pas. Pour celles qui sont connues, il te propose effectivement de te remplacer l'existant par une version AAC 256 (sans DRM, donc valide meme en cas de révocation de l'abonnement). Le reste est uploadé dans le cloud (à concurrence de 5Go) et mis à dispo pour tes périphériques.

Mais, les fichiers nettoyés portent ton apple id et surtout c'est explicitement interdit par les CGU iTunes.

Donc oui, la fonction existe, mais elle est bordée par les CGU iTunes et ne fonctionne que sur abonnement.
Enfin, il faut bien voir que nettoyer sa musique n'efface pas l'acte de contrefaçon commis en les téléchargeant dans la baie des pirates, ça nettoie les preuves. Mais de toute façon, en cas de contrôle, tu seras absolument incapable de prouver que tu as acquis les fichiers légalement.

On n'a qu'à dire que le numéro prôné par Scoubidou< qui vient en plus des coordonnées GPS est une altitude en nombre de U. Pour le cloud, il faut taper en équivalent 1000 mètres pour du cloud bas de gamme et équivalent 10/12km pour du cloud haut de gamme /o\

C'est aussi le comportement de tous les brouteurs à ma connaissance : Safari Mobile, Chrome Mobile et le bidule standard sur samsung