Logo journal du hacker middle
  1. 3
    1. 1

      Certainement pas ! Le stockage de mots de passe chiffrés est une absurdité. Jamais il ne doit etre possible de déchiffrer les mots de passe.

      1. 2

        Il ne faut pas tout confondre. Là on parle de processus qui permettent de stocker des données de manière sécurisée. Les données sont bien issues d'un processus de chiffrement. Ces mots de passe sont donc chiffrés. Du reste, il doit toujours être possible de déchiffrer des données chiffrées (mais uniquement pour celui qui possède la clé).

        Pour un tiers non autorisé, ça reste bien des données chiffrées pour lesquelles il ne dispose pas de la clé de déchiffrement. Le fait que dans ce cas il n'y ait pas d'autre choix que de décrypter les données pour y avoir accès n'enlève rien au fait qu'il a fallu connaître la clé de chiffrement pour procéder à l'opération initiale.

        Concernant la production de données cryptées, si l'on va par là et pour s'amuser un peu, ça revient à dire que pour les obtenir on réalise une opération sur des données sans avoir connaissance de la clé utilisée. Seule une opération de décryptage est alors possible ensuite. Perso, je préfère éviter de stocker mes données sensibles comme ça :D …

        1. 3

          Le chiffrement implique l'utilisation d'une clé et la possibilité de déchiffrer le message à partir de celle-ci. Dans le cadre de la conservation d'un mot de passe, Milosh a raison, on ne doit pas utiliser le chiffrement, car on ne doit pas pouvoir obtenir le message initial (ici, le mot de passe) à partir du message chiffré. La compromission de la clé de chiffrement impliquerait la compromission de tous les mots de passe.

          Dans la plupart des cas, les mots de passes sont conservés sous formes hachés (et non chiffrés). Le principe de hachage cryptographique consiste à appliquer une succession d'opération à une donnée afin de générer une valeur unique, communément appelée empreinte. C'est sous cette forme que doit être conservée les mots de passe car le processus de hachage est théoriquement non réversible. La possession de l'empreinte et la connaissance de l'algorithme de hachage utilisé ne permettent pas de revenir au message original.

          Dans le cas des mots de passe, pour vérifier que l'utilisateur est en possession du bon mot de passe. Il faut rejouer le processus utilisé pour générer l'empreinte du mot de passe sur celui que vient de donner l'utilisateur. Si l'empreinte générée corresponds à celle conservé par le système, l'utilisateur est bien en possession du mot de passe.

          Je n'ai volontairement pas abordé la question du sel, des rainbow tables et de l'importance du choix des algorithmes de hachage. Pour ceux et celles qui veulent aller plus loin, les pages wikipedia relatives au chiffrement et au fonction de hachage cryptographique sont assez complètes.

          1. 1

            J'en était resté à chiffrer vs crypter. Ça m'apprendra à répondre trop vite.

            Tout à fait d'accord avec toi donc et avec milosh, désolé pour le bruit…

            1. 2

              Il faut pas être désolé de générer des échanges intéressants ;)

              Tcho !

    1. 2

      J'ai essayé jenkill pendant un moment, et j'en suis revenu.

      Le gros problème des systèmes statiques, à mon sens, c'est qu'on ne puisse pas mettre à jour le blog de n'importe ou.

      Tu es en déplacement? tu es en vacances? …. tu peux rien poster. Sans compter que le jour ou ton disque dur flambe…

      Enfin, les points négatifs que tu évoques ne me semblent pas aussi rédhibitoire et limitatif.

      • les attaques DOS c'est pas tous les jours que tu en essuis pour un blog personnel…
      • les injections sql avec wordpress par exemple c'est quand même assez chaud, notamment si tu as un peu de bon sens…
      • quand aux dépendances ou plutôt l'indépendance de l'hébergement, c'est de plus en plus compliqué de trouver un hébergement qui ne propose pas php et mysql et pas l'inverse et un service qui tombe c'est assez rare, à moins d'être autohébergé.

      J'attends ton retour dans quelques mois, pour moi c'est un effet de mode.

      La je suis entrain de refaire un blog perso depuis symfony soit le strict opposé au statique :D Bonne chance pour tes 2 projets

      1. 1

        Rien n'empêche de mettre en place un moyen de mettre à jour à distance, on pourrait même envisager une app android avec le générateur… ou alors si tu as un laptop bha voilà tu as tout ce qu'il te faut.

        Il existe même des générateurs statiques avec une admin web pour justement rédiger et publier. Du coup la partie admin est dynamique mais la partie publique ne l'est pas.

        Si ton disque dur flambe bha c'est pareil que ce soit statique ou non… il te faut du backup.

        Concernant la sécurité, bon sens ou non, s'il y a une faille dans ton CMS… bha tu te la prends dans la tronche.

        1. 1

          De mon expérience, qui n'est certainement pas la plus complète,

          • la mise à jour a distance n'est pas simple en l'état et la façon dont est publié les billets, je ne vois vraiment pas comment cela pourrait l'être. a ce jour et pour jekill (dsl connais pas trop pellican) il faut simuler linux sur android, installer ruby and co… c'est pas neutre.

          • si la partie admin n'est pas statique, il y a des failles de sécurité potentielle.

          • un wordpress mis à jour n'est peut être pas inviolable, mais avec un peu de bon sens pour la bdd, il me semble que cela reste assez compliqué.

          Après chacun est libre de faire avec l'outil qu'il lui plaît, je dis juste que les élément a charge du dynamique ne me semblent pas autant rédhibitoires et qu'utiliser un statique est un effet de mode.

          Après j'avoue que de pouvoir utiliser son compte gitlab ou github pour stocker ses pages perso c'est vraiment sympa.

          1. 1

            Sur Github, gérer un blog jekyll ne nécessite qu'un navigateur web (le serveur met à jour à chaque git push et on peut modifier ou créer des fichiers et les commiter directement via l'interface web). Bref, c'est trivial avec un smartphone.

            (jekyll a été conçu par un des fondateurs de github : Tom Preston-Werner)

      1. 2

        Pas tout à fait. Les ordinateurs quantiques peuvent faire des choses que savent aussi faire les ordinateurs classiques. Mais plus rapidement. C'est une question de performance/complexité, pas une question de possibilité/calculabilité.

        Plus précisément, des chercheurs d'IBM et de la TÜM ont prouvé que les circuits quantiques de profondeur constante peuvent résoudre des problèmes dont la résolution par des circuits classiques nécessite une profondeur au moins logarithmique.

        1. [Comment removed by author]

          1. 3

            Visiblement, ils sont à l'écoute de proposition : https://github.com/OpenbookOrg/ideas Quelqu'un motivé pour écrire un argumentaire pro ActivityPub ?

            EDIT: Ca a déjà été fait et refusé : https://github.com/OpenbookOrg/ideas/issues/1

            1. [Comment removed by author]

              1. 2

                “We want to give our users absolute control of their data. We want them to be able to see the exact physical location of their data and to be able to ensure its deletion, even when shared.”

                Donc si je visite le profil d'un usager d'openbook, Openbook lui transmettra la position physique de mon ordinateur. Si je regarde (donc télécharge) une photo, Openbook veut être capable de la supprimer sur ma machine !

                Je penche pour une mauvaise interprétation du RGPD.

            2. 2

              J'ai l'impression que c'est de plus en plus la mode de parler de ce qu'on va faire sans le faire.

              1. 1

                Je trouve ça bien justement qu'ils attendent avant de le coder. Ça va j'espère leur permettre de réfléchir à une architecture bien pensée qui tiendra avec le temps. Qu'ils en profitent aussi pour ne pas réitérer les erreurs de Diaspora (manque d'intérêt par rapport à Facebook, austérité de l'interface, lourdeur du programme, manque d'ambition et d'originalité).

                1. 1

                  Je vais faire un commentaire un peu con… Mais si tu laisses ton portable dans sa pochette sur un banc public et qu'on te le pique… c'est quand même du vol… T'es un con, mais c'est du vol…

                  Du coup, en terme de droit, c'est pas totalement incohérent que ça soit un peu la même chose ici…

                  Bref, c'est plus donner un bâton pour me faire battre…

                  car oui, c'est des teub de laisser leurs documents publics

                  1. 1

                    Je pense que ton analogie n'est pas celle la plus adaptée à la situation présentée. Ici on serait plus proche de cette situation je pense:

                    Tu as pleins de publicités en accès libre sur un stand. Tu prends tout sans vraiment regarder en te disant que tu regarderai plus tard puis tu te rends compte chez toi que tu as pris des documents confidentiels top secrets.

                    1. [Comment removed by author]

                      1. 1

                        Toujours, plus capillotracté. Cependant, c'est un réel problème.

                        Après dans le cas de ce jeune homme, garder autant d'informations c'est quand même étonnant…

                        1. [Comment removed by author]

                          1. 1

                            Comme le dit milosh, si recel il y a derrière c'est plus que de l'archivage bénin.

                            1. [Comment removed by author]

                              1. 1

                                Il n'y a pas de recel, la police a débarqué chez lui alors qu'il était en train de dormir.

                                Recel : détenir une chose en sachant qu'elle n'a pas été obtenue de façon légale.

                                Si j'achète un ordinateur à quelqu'un qui, je le sais, l'a volé, je suis receleur (même quand je dors).

                    1. 1

                      Pour faire une autre analogie forcément foireuse. Les documents secret défense sont dans la bibliothèque publique dans l'allée voisine des documents accessbiles à chacun, l'accès est protégé par un cordon rouge, quiconque le traverse tombe sous le coup de la loi. Mais si en sortant des toilettes, on tourne à gauche vers le rayonnage ornithologie et qu'on passe entre le guide vert du perroquet bleu et l'encyclopédie des oiseaux sans ailes, on arrive dans l'allée secret défense sans avoir traversé de barrière…

                      Bref, il semble que l'accusé n'a pas accédé aux documents illégalement. Cependant, il est peut-être coupable de recel de ces documents mais il faudrait prouver l'intention et la connaissance du caractère secret.

                      1. [Comment removed by author]

                        1. 1

                          Doucement nikaro, on suggère seulement un éventualité.

                          Parce que tu peux être fan d'archivage, certes. Mais de là à créer des scripts pour récupérer des informations sur une pelletée de sites différents et en avoir des dizaines de To c'est un peu gros.

                          Donc oui, la question se pose. Est-ce qu'il fait plus que stocker ces informations ?

                          1. [Comment removed by author]

                            1. 1

                              Tu as une source de ce que tu dis ?

                              Pour notre part, on ne fait que proposer une hypothèse.

                              1. [Comment removed by author]

                                1. 1

                                  Donc il n'y a pas d'exclusion de ce que l'on avance, comme le dit Cascador nul besoin de s'énerver, chacun donne son avis.

                          2. 1

                            Je ne connais pas la loi canadienne, mais je ne pense pas que “télécharger des documents de façon inappropriée” soit une qualification officielle d'un délit. A la lecture de l'article, je ne vois pas d'accès illicite ou maintien frauduleux dans un système informatique, donc, à la lecture de l'article, “il semble que l'accusé n'a pas accédé illégalement aux documents”. La seule qualification délictuelle que j'imagine possible est celle de recel.

                        1. 1

                          Les défauts présentés sont, il me semble, justement traités par le RGPD.

                          1. Pour être conforme au RGPD, le consentement doit être “libre et éclairé”. Plus de fabrication de consentement donc (en théorie du moins).
                          2. Tout service devra être utilisable sans consententement au traitement de données non indispensables. Dans l'exemple du métro londonien, un passager doit pouvoir emprunter le métro sans que son identité soit liée aux trajets qu'il fait. RMS pense que “le système de transport peut justifier cette pratique en vertu des règles du RGPD”. Je pense qu'il se trompe : le service ne saurait justifier l'indispensabilité de données personnelles là où des services équivalents (métro de Paris au hasard) permettent aux passagers d'utiliser des tickets anonymes.
                          1. 2

                            Le coup de samba qui ne supporte pas de décompresser une archive localement, c'est un vrai problème et c'est lourd.

                            Ça m'arrive aussi. Quand je crée trop de fichiers trop rapidement sur un partage samba, ça déconne. Mais si je décompresse dans /tmp puis copie, ça passe.

                            1. 1

                              Il y a un an déjà : https://www.francebleu.fr/infos/faits-divers-justice/laval-les-etudiants-de-l-estaca-sonnes-apres-la-destruction-des-ordinateurs-de-l-ecole-1479916568

                              C'est pratique de laisser les étudiants brancher leur clef USB sur les ordinateurs de l'université/école, mais on peut (doit) l'interdire (physiquement) et les inciter à utiliser leur espaces réseau (qui normalement est monté sur le poste quand ils se connectent et est accessible depuis un navigateur web via leur environnement numérique de travail)

                              1. 1

                                Si ça pouvait prendre, ce serait formidable. Le protocole googlecast est fermé et obfusqué ce qui confère une exclusivité à google sur le matériel. Si je pouvais transformer mon vieil HTPC en pseudo-récepteur cast avec le smartphone en télécommande, je serais plus heureux qu'en achetant une android box ou une clef chromecast.