Posts by rodolphe@pwet.what.tf
(DIR) Post #AQ8wrujOiuWqYDkh0q by rodolphe@pwet.what.tf
2022-11-30T20:12:21.126217Z
0 likes, 2 repeats
Le saviez-vous ? Lorsque la CNIL contrôle un organisme, elle peut prendre copie de tout document utile à sa mission. Pour les pièces numérique, l'intégrité de ces documents est assurée par le calcul d'une empreinte à l'aide de la fonction de hachage SHA-256.L'organisme dispose alors de l'ensemble des empreintes des pièces et peut donc vérifier que la CNIL utilise exclusivement des fichiers identiques à ceux qui lui ont été communiqués. Cette pratique contribue au respect du principe du contradictoire tout au long de la procédure.Afin d'aller encore plus loin dans la transparence, la CNIL publie un de ses outils (encore en test) permettant le calcul et la vérification des empreintes des pièces. Des versions pré-compilées sont disponibles pour Linux, MacOS et Windows.https://github.com/LINCnil/loutre
(DIR) Post #AREG9ijOziNDcwhMtE by rodolphe@pwet.what.tf
2023-01-02T10:54:05.291463Z
0 likes, 0 repeats
@bortzmeyer « The current development version (master branch) will be identified as version 3.0.0. The OpenSSL FIPS module currently under development will also follow this versioning scheme. We are skipping the 2.0.0 major version because the previous OpenSSL FIPS module has already used this number. »https://www.openssl.org/blog/blog/2018/11/28/version/
(DIR) Post #AS0nJS8qgFVs7VAk6K by rodolphe@pwet.what.tf
2023-01-25T18:03:05.267023Z
0 likes, 1 repeats
Le 16 octobre dernier, nous vous présentions la nouvelle recommandation de la CNIL relative aux mots de passe sous forme d'un webinaire. Malheureusement, le nombre de places étant limité, tout le monde n'a pas pu en profiter, mais nous vous avions promis de le rediffuser afin que tout le monde puisse en profiter. C'est désormais chose faite !https://www.cnil.fr/fr/revoir-le-webinaire-recommandation-de-la-cnil-sur-les-mots-de-passe-quels-sont-les-principauxPour les personnes qui ne connaîtraient pas encore, cette recommandation s'adresse principalement aux organismes mettant en œuvre une authentification par mot de passe ainsi qu'aux éditeurs de logiciels. Elle ne concerne pas vraiment le grand public qui, pour sa simple utilisation de ces outils, dispose déjà de conseils divers.Si vous aviez loupé les précédents épisodes, voici tous les liens utiles pour vous mettre à jour :L'annonce sur la publication de la nouvelle recommandation relative aux mots de passe : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securiteLa recommandation elle-même : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-2022-100-du-21-juillet-2022_recommandation-aux-mots-de-passe.pdfSon annexe : https://www.cnil.fr/sites/default/files/atoms/files/recommandation-mots-de-passe_annexe2_tableau-correspondance.pdfLa FAQ : https://www.cnil.fr/questions-reponses-sur-la-nouvelle-recommandation-relative-aux-mots-de-passe-et-autres-secretsUn outil pour tester votre politique de mots de passe : https://www.cnil.fr/fr/verifier-sa-politique-de-mots-de-passeNotre article préalable résumant l'état de l'art actuel en la matière : https://linc.cnil.fr/de-azerty-paword-une-revue-des-pratiques-de-gestion-des-mots-de-passePuisqu'un y fait mention, la recommandation de la CNIL en matière de journalisation : https://www.cnil.fr/fr/la-cnil-publie-une-recommandation-relative-aux-mesures-de-journalisation
(DIR) Post #AVjwj9iZK5NfMri1Oy by rodolphe@pwet.what.tf
2023-05-17T07:57:36.829398Z
1 likes, 0 repeats
La CNIL prononce une amende administrative de 380 000 € à l'encontre de Doctissimo.Article : https://www.cnil.fr/fr/donnees-de-sante-et-utilisation-des-cookies-doctissimo-sanctionne-par-une-amende-de-380-000-eurosDélibération : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047552103Au delà de la sanction pécuniaire, il y a quelques points intéressants à retenir de cette décision :1. L'utilisation de TLS (HTTPS) est nécessaire et l'était déjà en 2019.2. Pré-hacher un mot de passe avec MD5 avant de hacher le résultat avec Bcrypt (ou autre fonction de hachage de mot de passe correcte) est bel et bien un manquement à la sécurité. Pour en savoir plus, je vous invite à regarder la conférence de Sam Croley lors de la DEF CON 2020 (en anglais) ainsi que la fiche de l'OWASP (en anglais également).Conférence : https://www.youtube.com/watch?v=OQD3qDYMyYQFiche OWASP : https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html#pre-hashing-passwords3. Hacher des adresses IP est un mécanisme de pseudonymisation. En effet, le nombre d'adresses IP étant connu et limité, il est possible d'utiliser la force brute afin de retrouver une adresse IP depuis un haché.4. Sur les espaces de discussion, la technique de suppression d'un compte par simple retrait des données directement identifiantes n'est pas suffisante. En effet, la CNIL considère qu'il est d'usage courant que lors des discussions les personnes écrivent le nom ou pseudo de leur interlocuteur. Ceci permet donc de retrouver la personne qui utilisait le numéro d'utilisateur lié au compte.5. La CNIL peut retenir un manquement sur la base du témoignage d'une personne salariée de l'organisme contrôlé, sans avoir constaté par elle-même le manquement. Ceci ne viole pas le droit de na pas s'auto-incriminer. Ceci est d'autant plus vrai ici que l'avocat de la société était présent au jour du contrôle où a été dressé le procès-verbal où à été retranscrit ce témoignage.6. Les agents des contrôles de la CNIL ne violent pas les droits de l'Homme et n'exercent ni violences ni menaces ni pressions sur les personnels des organismes contrôlés. Visiblement il a été nécessaire de le rappeler à Doctissimo…7. Sur la durée de traitement des plaintes, le calendrier est très clair :- 26 juin 2020 : une plainte est déposée à la CNIL ;- 14 août 2020 : la président de la CNIL décide de mener une mission de contrôle ;- 9 septembre 2020 : premier contrôle en ligne ;- 1er octobre 2020 : contrôle sur place dans les locaux de la société ;- 1er décembre 2020 : second contrôle en ligne ;- 8 février 2021 : contrôle sur pièces ;- 29 novembre 2021 : désignation de la rapporteure en vue d'une procédure de sanction ;- 19 juillet 2022 : notification du rapport de sanction ;- 5 octobre 2022 : Doctissimo formule ses observations sur ce rapport ;- 21 novembre 2022 : la CNIL répond à ces observations ;- 5 janvier 2023 : Doctissimo formule de nouvelles observations ;- 9 février 2023 : tenue de la formation restreinte, sorte de « mini-procès » où la rapporteure et la société avancent leurs arguments ;- 30 mars 2023 : soumission du projet de délibération aux autres autorités européennes ;- 11 mai 2023 : délibération de la formation restreinte prononçant la sanction ;- 17 mai 2023 : publication de la sanction.Ce qu'il faut retenir de ces dates, c'est que dans le cas présent la plainte a rapidement été traitée. Les opérations de contrôle ont pris du temps, l'instruction des pièces et la procédure de sanction également. Certains délais sont incompressibles, d'autres viennent de la complexité du dossier. Dans tous les cas, ne cédez pas aux propos alarmistes des experts auto-proclamés du RGPD qui crient sur tous les toits que la CNIL ne fait rien et ne s'occupe pas des plaintes, c'est un raccourcit simpliste qui ne reflète pas la réalité des faits.
(DIR) Post #AdIbWRTVRmarmiBADA by rodolphe@pwet.what.tf
2023-12-29T10:33:59.479534Z
1 likes, 0 repeats
@bortzmeyer @lanodan Je me permet d'intervenir pour insister sur la seconde partie, « purely personal or household activity » ou « activité strictement personnelle ou domestique » en français.Cette précision est importante car très limitative. En particulier, toute publication ou transmission à un tiers sort de cette définition et rend donc le RGPD applicable. Après, dans le cas précis des nudes sont publiées ou transmissent sans le consentement de la personne concernée, les poursuites pénales (article 226-2-1 du code pénal) me semblent bien plus adaptées que celles liées au RGPD.Mais bon, ce n'est parce que quelque chose est légal qu'il est éthique de le faire. Respecter le choix des autres, même après la rupture d'une relation, reste à mon sens le choix le plus moral.Dans un contexte moins intime, le RGPD ne s'applique donc pas non plus pour les particuliers qui entretiennent un carnet d'adresses (numérique ou non) de leurs contacts. En revanche, il s'applique en cas de publication ou transmission, ce qui restreint la possibilité de le faire. Le consentement est une des 6 bases légales possible pour le faire, mais ce n'est pas la seule (cf. article 6 du RGPD). Par exemple, si un de vos contacts vous fait part de son intention d'attenter à sa vie, le RGPD permet de transférer ses coordonnées aux secours sur le fondement de deux bases légales :- l'obligation légale (article 6, 1. c du RGPD) sur base de l'obligation de porter secours (article 223-6 du code pénal) ;- la sauvegarde des intérêts vitaux de la personne concernée (article 6, 1. d du RGPD).Je me devais de préciser ça pour les éventuelles personnes qui seraient susceptibles de lire ce post et d'invoquer le RGPD à tort ou bien qui ne reconnaissent que le consentement comme base légale. D'une manière générale le RGPD est logique et bien rédigé, donc si une situation paraît absurde c'est généralement (mais pas toujours j'en conviens) que l'on a fait une mauvaise interprétation.PS : pour le texte du RGPD en français sur eur-lex, pensez à ajouter « ?locale=fr » à la fin de l'URL (avant un éventuel # bien entendu, mais normalement les gens lisant ça le savent déjà) : https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr
(DIR) Post #AdJNaHuqG1vfED6I8e by rodolphe@pwet.what.tf
2023-12-29T14:45:06.394375Z
0 likes, 0 repeats
@jeeynet @bortzmeyer @lanodan C'est une bonne question et je n'ai pas de réponse simple. Avant toute chose, je précise qu'il ne s'agit que de mon avis personnel, qu'il n'engage que moi, que malgré mon expérience dans le domaine je n'ai pas de véritable formation juridique et que je suis susceptible de me tromper. Ce qu'il faudrait c'est de la jurisprudence dans le domaine. Peut-être que ça existe, mais je n'en connais pas (et je n'ai pas beaucoup cherché). Bref, je vais axer mon raisonnement autours de ce que je connais le mieux, c'est à dire le RGPD, en supposant que dans un cadre pénal un raisonnement similaire sera tenu.Je pense donc que la réponse va beaucoup dépendre de la situation et nécessite d'apprécier plusieurs éléments. Tout d'abord : est-ce que le RGPD est applicable ou non ? Autrement formulé : est-ce que confier à un hébergeur des données personnelles que l'on détient pour un usage strictement personnel ou domestique est ou non à un usage autre qui, si c'était le cas, constituerait un traitement soumis au RGPD.Sur le plan purement technique, il y a bien transmission à un tiers (l'hébergeur), donc l'argument du traitement soumis au RGPD peut se défendre. Cependant, sur le plan juridique j'en suis beaucoup moins certain et je pense donc que la réponse peut varier en fonction de la nature exacte de la prestation d'hébergement. Je propose de se poser trois questions afin d'y répondre :1. Est-ce que l'hébergeur a mis en place des mesures techniques et organisationnelles de protection de la vie privée et ces dernières sont-elles suffisantes ?2. Est-ce que l'offre d'hébergement est générique ou bien est-elle spécifiquement dédiée aux nudes ou similaire ?3. Est-ce que l'hébergeur se contente de l'hébergement technique de manière neutre ? Ceci appel deux sous-questions :a. Est-ce que l'hébergeur scan les données hébergées ?b. Est-ce que l'hébergeur réutilise les données à ses propres fins ?Ainsi, dans le cas d'un hébergeur générique ayant mis en oeuvre des mesures techniques et organisationnelles de protection de la vie privée efficace, qui ne réutilise pas les données à ses propres fins et ne scan pas les données ou bien les scan exclusivement pour la recherches de virus/malwares, je pense qu'on pourrait retenir un usage strictement personnel ou domestique non soumis au RGPD. À l'inverse, dans le cas d'un hébergeur n'ayant pris aucune mesure de protection des données personnelles et réutilisant les données pour ses propres fins, je pense que l'on peut considérer qu'il y a un traitement soumis au RGPD, surtout si le service est dédié aux nudes.Ceci mis au point, que dire du statut de l'hébergeur ? Dans le cas où le traitement n'est pas soumis au RGPD, je trouve que ça n'a pas de sens de lui attribuer un statut défini par le RGPD. Je propose donc de le voir comme un simple intermédiaire technique qui n'a pas de responsabilité spéciale dans l'affaire.En revanche, dans le cas où il y aurait un traitement soumis au RGPD, il faut se poser la question de s'il est sous-traitant ou bien coresponsable de traitement voir, dans certains cas, responsable à part entière. Et c'est là que tout se complexifie encore plus.Parce que oui, s'agissant des services cloud, la détermination des roles de chaque partie dépends de beaucoup de choses. L'analyse peut être longue et complexe mais, en règle générale, on tend à considérer qu'un prestataire SaaS est un sous-traitant. Cependant, ceci n'est pas automatique. En particulier, un hébergeur peut être considéré comme sous-traitant certaines parties propres à l'hébergement des données, mais aussi comme responsable de traitement à part entière pour les traitement découlant de la réutilisation des données de ses clients à ses propres fins (spoiler alert : chers hébergeurs, ne faites pas ça sans en parler à un avocat spécialisé avant).Bref, c'est très complexe et il y a beaucoup d'éléments à prendre en compte. Afin d'avoir plus d'informations, je te propose de lire la section 3.2 du rapport (en anglais) de l'EDPB traitant de l'utilisation des services cloud par le secteur public.https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_enhttps://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf(nota : pour bien lire ce rapport, je recommande d'ouvrir les versions françaises et anglaises de l'article 4 du RGPD afin de bien identifier la signification des termes employés)[…](suite dans le pouet suivant)
(DIR) Post #AdJNaIyQKCO8VbmfMO by rodolphe@pwet.what.tf
2023-12-29T14:45:18.864394Z
0 likes, 0 repeats
@jeeynet @bortzmeyer @lanodan (suite et fin)De la caractérisation du rôle de chacun va découler la responsabilité associée. Et ça c'est la partie la plus facile car il n'y a pas trop à réfléchir : le RGPD a déjà préparé le travail. En effet, dans chaque article susceptible d'engendrer des manquements, le RGPD prend le soin de dire si la responsabilité incombe au responsable de traitement, au sous-traitant ou aux deux.Ainsi, l'article 5 dispose que c'est le responsable de traitement qui est responsable de la licéité du traitement. Si l'on ne retient que le caractère illicite du traitement, ce qui est ici, je pense, le seul véritable manquement, il n'y a que les acteurs reconnus comme responsables du traitement qui seront sanctionnées.Si l'hébergeur avait été reconnu sous-traitant, il ne sera donc normalement pas inquiété. S'il est également responsable de traitement s'agissant de la réutilisation des données et qu'il ne s'agit pas d'un service spécifiquement dédié aux nudes, je pense qu'il est préférable d'analyser ça au titre du RGPD dans une procédure dédiée.
(DIR) Post #AdJNaJtUu02fMcUFJw by rodolphe@pwet.what.tf
2023-12-29T14:52:58.695575Z
1 likes, 0 repeats
@bortzmeyer @jeeynet @lanodan Et c'est seulement après avoir posté que je repense au fait que dans cette histoire il faut aussi penser à étudier le caractère intentionnel ou non de la synchronisation. 😅https://www.commitstrip.com/fr/2017/10/18/true-story-syncing-the-wrong-folder/
(DIR) Post #Ahp7J7Nv5PF3HhSFii by rodolphe@pwet.what.tf
2024-03-29T18:13:22.164927Z
0 likes, 0 repeats
Wow, this xz backdoor really is something. If you are using a Linux distribution, you should check right now whether or not you are affected and take appropriate measures.In the next days we will surely see some interesting reactions. I'm quite curious how the different communities and the authorities will handle it.https://www.openwall.com/lists/oss-security/2024/03/29/4https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usershttps://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/issues/2
(DIR) Post #Ahp7J7kFkN6eOxu5Wy by rodolphe@pwet.what.tf
2024-03-29T20:22:12.423769Z
0 likes, 0 repeats
Quick update of affected ⚠️, safe ✅ and unsure ❔ systems:✅ Debian stable⚠️ Debian trixie (testing)⚠️ Debian SID (dev)✅ Ubuntu stable✅ ArchLinux✅ RedHat✅ Fedora stable⚠️ Fedora 41 (test)⚠️ Fedora rawhide (dev)✅ Alpine Linux✅ FreeBSD stable❔ FreeBSD 15 (dev)✅ OpenBSD stable✅ OpenBSD 7.5 (dev)
(DIR) Post #Ahptv8LIlkRB3iQI3k by rodolphe@pwet.what.tf
2024-04-27T11:33:29.548887Z
0 likes, 0 repeats
Comment se passer de Redis et de ses dérivés ? Et bien tout simplement en utilisant PostgreSQL. C'est ce que j'ai fait pour un projet personnel et cette approche m'a vraiment convaincu. Un article pour voir comment je m'y suis pris pour revoir le stockage de mes données volatiles.https://rodolphe.breard.tf/article/postgresql-pour-remplacer-redis/
(DIR) Post #AhsiWJ2JMCMsxoNYSe by rodolphe@pwet.what.tf
2024-04-27T17:40:10.948044Z
0 likes, 0 repeats
@mtparet Franchement, j'ai de très gros doutes sur l'apparition de problèmes avant d'atteindre des tailles assez monstrueuses qui dépassent ce que gèrent 99% des boites. Mais ok, je vais faire un benchmark afin de mettre à l'épreuve nos opinions respectives.
(DIR) Post #AhsiWLIgwGevzC3fGq by rodolphe@pwet.what.tf
2024-04-27T23:51:43.388972Z
0 likes, 0 repeats
@mtparet Ok, donc j'ai balancé 1 million d'entrées dans chacune des deux tables, UUIDv4 dans l'une et UUIDv7 dans l'autre. Puis j'ai benchmarké, dans chaque table, le select 2000 entrées existantes puis 500 inexistantes. Temps total pour ces 5000 requêtes sur mon laptop : dans les 200 ms. Avec PostgreSQL hein.Bref, c'est pas ce que j'appelle 3 gus dans un garage et vu les perfs je n'en ai pas grand chose à faire de Redis qui doit très certainement faire encore mieux.
(DIR) Post #AhsidEeQ3mktOEVXv6 by rodolphe@pwet.what.tf
2024-03-19T19:58:11.032394Z
0 likes, 0 repeats
@marcolibre Vu le faible niveau juridique des journaliste, il faudrait voir la décision pour savoir ce qu'elle dit exactement.
(DIR) Post #AhtZWBghyPuxkA6RPM by rodolphe@pwet.what.tf
2024-04-30T17:54:12.087285Z
0 likes, 0 repeats
@mtparet Et moi ça fait près de 4 ans que j'enchaîne les contrôles d'organismes divers et variés, de l'entreprise individuelle à la multinationale, de la commune au ministère. Bref, des systèmes d'information j'en ai vu de toutes sortes, et au final ceux qui doivent gérer des milliers de requêtes par seconde il n'y en a pas tant que ça.
(DIR) Post #AhwKOEvF9G1xcVX8Yy by rodolphe@pwet.what.tf
2024-04-02T19:23:13.174849Z
0 likes, 0 repeats
@JayDLugin @cendyne Agreed, I would not use it either since I have far better quality gear.That said, I totally understand why the manufacturers include such low-quality screwdriver since most people cannot differentiate between a Phillips and a Pozidriv screw/screwdriver. If people use the included one, they use the correct model and therefore will not risk to damage the screw. Therefore, the won't get angry at the manufacturer for what falsely appears to be "low quality" screws while in fact the user used the wrong screwdriver.
(DIR) Post #AhwKOH4t8MvyJ03rsG by rodolphe@pwet.what.tf
2024-04-02T20:33:59.080266Z
0 likes, 0 repeats
@JayDLugin @cendyne Indeed. So far I never saw this type in a hardware store, only on smaller electronics and therefore in my iFixit kit. I don't know if this is a regional effect or more global. Where I live, if you want to apply more torque, you go either Allen or Torx (and sadly we don't have Robertson which seems to be the one you do want for maximal torque).
(DIR) Post #Ai0WvVjzc9aXQ7k4zg by rodolphe@pwet.what.tf
2024-04-15T16:21:30.392282Z
0 likes, 0 repeats
Rappel périodique sur la sécurité numérique :- la sécurité ce N'EST PAS saupoudrer votre infra de produits dits « de sécurité » ;- chaque nouveau produit, y compris ceux dits « de sécurité » augmente la surface d'attaque ;- la sécurité numérique est une affaire d'EXPERTS ;- la certification ou norme trucmuche ne vous protège de rien et ne dit absolument rien de vos pratiques en matière de sécurité numérique, même si le commercial vous soutient le contraire ;- la liste des personnes NON QUALIFIÉES pour parler de sécurité numérique inclue notamment : les dirigeants, les responsables conformité, les avocats, les commerciaux, les organismes de certification ainsi que leurs auditeurs, etc.Si vous croyez que j'exagère, nous venons d'avoir encore un exemple de produit de sécurité qui a une vulnérabilité critique permettant à un attaquant d'exécuter du code à distance. Ce n'est malheureusement ni le premier ni le dernier exemple du genre.https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-006/Si vous me répondez qu'on ne va quand même pas se passer de produits de sécurité au prétexte qu'il y a parfois des failles, sachez que régulièrement le problème est situé dans le bon fonctionnement du produit en question. L'exemple le plus connu à ce sujet est l'antivirus sur un serveur de base de donnée stockant les données d'une application dans laquelle un utilisateur extérieur peut publier du texte. Certaines signatures de virus sont entièrement en caractères imprimables, donc si un utilisateur en entre une dans votre app, votre antivirus va la détecter dans les fichiers de votre base de données et prendre des mesures drastiques contre cette dernière, brisant immédiatement le fonctionnement de votre app.Encore une fois, la sécurité est une affaire d'experts qui analysent finement les risques et en déduisent les mesures adaptées. Ce n'est certainement pas une agglomération de produits qu'on installe juste pour respecter un référentiel quelconque.
(DIR) Post #AzkLFUJwfCDxcofdGi by rodolphe@pwet.what.tf
2025-10-30T18:10:30.070076Z
0 likes, 1 repeats
C'est bientôt Halloween, alors voici l'histoire du fantôme d'un nom de domaine qui revient hanter la RATP. 👻https://rodolphe.breard.tf/article/quand-la-ratp-fait-la-promotion-d-un-casino-en-ligne/En espérant que ça plaise à @bortzmeyer 🙃
(DIR) Post #B0EV2u1gkYqxIyRTXc by rodolphe@pwet.what.tf
2025-11-14T10:04:27.181052Z
0 likes, 0 repeats
@bortzmeyer C'est un grand classique pour les nouvelles recrues, la carte de transport met un temps fou à être fournie. La seule alternative officielle est de demander à son école de délivrer un bon unique de transport (BUT) pour **chaque** trajet en train. Donc en général beaucoup préfèrent miser sur le fait que le chef de bord laisse passer ou bien prendre une amende qui sera par la suite annulée ou au moins allégée.