oinkoink_daotter a écrit 1695 commentaires

My bad, j'ai appris un gros truc ajd. Pour le coup la loi est en fait très claire, du coup, je ne vois pas où est le problème. Dès que tu vois une opération frauduleuse, tu le signales et la banque est tenue de te rembourser. Tu n'as pas à prouver qu'elle est frauduleuse. Note que l'article agefi que tu pointes plus haut date de 2005 et que l'article du code monétaire a été créé en 2009, il n'est donc pas étonnant qu'ils soient contradictoires.

Euh non. Ce que tu n'as pas compris, c'est que c'est la banque qui va jouer le contrat contre toi qui a refilé ton password à n'importe qui car il n'y a pas de texte de loi pour te protéger. Pour le code secret de la CB si tu le donnes, tu l'as dans le schtroumph, pareil. Si on te l'extorque, il faudra que tu le prouves. Par contre, la banque ne peut pas tenter de se retourner contre toi pour les transaction sans signature/pincode car la loi dispose l'inverse et le contrat ne peut pas aller contre la loi.

Ce ne sera probablement pas devant la loi car si le truc avec le code sur les CB est relativement bien bordé par la loi, je doute qu'il y ait quoi que ce soit pour les login/password. Du coup, c'est le bête droit des contrats qui va s'appliquer (tu sais le papier que tu as signé qui dit que tu le donneras à personne ce login/pw). Et tu l'auras dans le schtroumph.

Mais non !
L'important, ici c'est que tu as besoin de la clef en clair en mémoire pour chaque opération sur un fichier, c'est à dire en permanence. Tu ne peux pas demander le mdp à l'utilisateur en permanence à chaque accès fichier (filevault est un erzatz de FDE, pas de chiffement de quelques fichiers à droite à gauche, il chiffre toute une partition).

Quant au TPM, ca ne pourrait pas marcher parce qu'un TPM c'est très lent (vraiment très très lent), donc on ne pourrait pas lui sous traiter les opérations de chiffrement (et qui plus est, un TPM n'est pas vraiment fait pour faire de la crypto symétrique).

(je crois qu'il y a cependant certains courriers qui ne peuvent être transférés).

Pour moi les seuls courriers qui ne sont pas transmis sont les avis d'imposition. Sauf qu'en vrai, ben moi ils l'ont fait deux fois l'année dernière… Les courriers des banques, ca suit tranquille.

PR bullshit (ça vient d'ici). Ça fait joli, ça marche avec les journalistes et ça ferait bizarre si ça n'y était pas … donc ils le mettent. Faut jamais porter trop d'attention aux premières et dernières lignes des déclarations de presse :)

Le justificatif de domicile est bidon : n'importe quoi et cela passe (par exemple un faux contrat de location rédigé avec Word/Openoffice).

Je sais bien.

La CNI c'est pas mal : mais est-ce qu'il avait fait une copie de ta CNI à l'ouverture du compte ?

C'est une obligation réglementaire, donc wii, ils le font. Est ce qu'ils la gardent, par contre …
Pour le coup du changement du changement d'adresse, ils avaient aussi voulu une lettre (avec signature).

Le gros problème des virements c'est qu'à ma connaissance il n'y a aucun standard existant pour faire le lien entre l'action déclencheuse "Tanguy veut faire un don de 666.42€ à action contre la faim" et le résultat "666.42€ sont arrivés sur le compte d'action contre la faim". Du coup le récepteur est obligé de bricoler faire le rapprochement à la main (avec le nom s'il est présent dans le libellé du virement, le montant, la date) avec les risques que ça implique (ex: 1 transaction reçue alors qu'on attend deux virements, qui a payé ?).

Avec le prélèvement ou un paiment CB, pas de soucis.

La plupart des banques m'ont demandé vraiment des informations basiques pour « m'authentitifer ».

Le CSC de ma banque m'a demandé entre autres les quatre derniers chiffres de mon numéro de CB :)
Aiet, the buckle is buckled.

Une fois les identifiants obtenus, il me suffit de changer ton adresse et d'obtenir ta grille (on peut changer son adresse avec un simple fax en France si je ne m'abuse ?).

Ma banque m'a demandé un justificatif de domicile et une copie de ma CNI pour le faire.

Ouais mais les IOMMU, y a personne qui s'en sert à part les hyperviseurs :/

(c'est étrange qu'il n'y pas une option du style auth-nocache pour filevault et bitlocker

filevault c'est du chiffrement soft, donc la clef a besoin d'être en ram pour n'importe quelle opération sur le filesystem, du coup je ne vois de quelle option tu pourrais parler …

Il y aurait toujours une différence entre deux sexes, uniquement parce que nos corps ne produisent pas les mêmes hormones !

Stadire que les hormones en question sont surtout produites par les organes sexuels (ou peut-être produits en réaction à des hormones produites par les dis organes, je dois concéder que je ne me rappelle plus bien de mes cours de bio). Donc en fait, la distinction physique serait très minime.

Pour google, ca a particulièrement bougé ces derniers temps à cause de ça :

http://googleonlinesecurity.blogspot.fr/2013/05/changes-to-our-ssl-certificates.html
http://googleonlinesecurity.blogspot.fr/2013/11/out-with-old-stronger-certificates-with.html

Je répondais à la problématique du stockage d'une clef ou d'un sel rien de plus

Moi ce que je dis, c'est que l'on ne se sert pas d'un HSM pour stocker une clef ou un sel si c'est pour qu'il la balance en clair à la plateforme hôte. Ca n'a aucun sens.

C'est plus contraignant oui, mais c'est moins chère qu'un HSM.

Ca ne protège pas de la même chose… L'intérêt du HSM c'est que c'est lui qui fait les opérations crypto et que les éléments sensibles n'en sortent jamais (ou jamais en rouge). Tu ne vas pas mettre un HSM pour qu'après les démarrage il file gentiment à PHP le sel à utiliser pour la BDD, hein. Autant utiliser une clef usb.

Tu vas utiliser un HSM dans ce type de cas pour que :
1/ il te hashe un mot de passe utilisateur et te ressorte un hash avec sel chiffré avec une clef locale au HSM
2/ quand tu lui files un mot de passe avec le blob qu'il t'a renvoyé au 1/, il te dise ok ou ko.

je n'ai pas pu compiler de version pour iPhone, car il faut posséder un Mac pour cela…

En fait, pas forcement. Par contre, ça ne tournera de toute façon pas sur un iOS non jailbreacké, sauf si tu t'inscris comme développeur (99$+taxes a year), mais ça c'est avec ou sans mac.

Ah bah vi, c'est du serious bizness !

C'est du matériel qui coûte hyper cher (genre 15.000€ l'entrée de gamme)

Non, pas nécessairement, ça dépend de beaucoup de paramètres. Par exemple un YubiHSM ça coute 500$ et niveau sécu, apparemment, c'est pas mal. Par contre, clairement, tu ne chifferas pas un 1Gb/s. Un TPM, aussi, c'est très bien. Mais la, c'est vraiment très très lent.

Oulah, t'as des années de retard, toi. Le nouveau linuxfr réécrit en ruby s'est affranchi de templeet.

Soit la bagnole a sa propre puce 3G (et là, il faut quand même arrêter le délire)

Ben en fait, contrairement à ce que tu penses, ça se fait déjà et c'est de plus en plus courant. Ce n'est pas caché et c'est pas mal :
http://www.bmw.fr/fr/topics/innovation/connecteddrive-2013/overview.html
http://services.peugeot.fr/peugeot-connect-sos/

• c'est la raison principale pour laquelle l'Itanium (qui est une sorte de VLIW) s'est planté en beauté..

L'autre hypothèse c'est que c'était la première génération compatible *86 à ne pas offrir de performance supérieure à la génération précédente (la faute à un simulateur plus lourd et une fréquence de travail plus basse). Encore un problème du logiciel privateur…

Euh, l'itanium n'est pas compatible x86. Et puisqu'on parle de hardware, j'ai du mal à comprendre pourquoi tu parles de simulateur et de logiciel propriétaire ?

Ben écoute, pour le moment on n'en sait rien. Les discussions étant secrètes, on discute sur du vent. Faut que ça leake.

J'en sais rien, mais faut reconnaître que c'est terriblement efficace :)

Par contre pour la partie déchiffrement, la partie RCPT TO est effectivement chiffrée : [SMTP-AUTH]

Oui, mais ici, tu confonds le chiffrement de mail au niveau utilisateur (S/MIME, PGP) et la crypto dans la tuyauterie SMTP qui est un niveau en dessous dans la pile protocolaire, et qui elle, n'est pas de bout en bout (uniquement entre toi et un serveur ou entre deux serveurs)

je saurai que ton message contient "RCPT TO…" entre autres.

Euh, non.
RCPT TO, c'est dans la nego SMTP, pas dans le corps du mail. Dans le mail c'est "To:" (et en plus cette partie est de toute façon en clair si je ne m'abuse)