@rodolphe@pwet.what.tf

rodolphe

@rodolphe@pwet.what.tf

Dev. Rust 🦀
🇨🇵 Je pwet principalement sur le développement logiciel, la cryptographie, l'administration système, les logiciels libres ainsi que de la protection des données personnelles. Team #vélotaf et auto-radicalisé #IPv6
🇬🇧 🇺🇸 I mostly toot about software development, cryptography, system administration, free software and personal data protection.

This profile is from a federated server and may be incomplete. Browse more on the original instance.

marcolibre, to random French

Tiens, c'est nouveau et TRÈS GRAVE, ça :

https://emploi.lefigaro.fr/vie-bureau/la-justice-a-tranche-un-patron-a-le-droit-d-installer-une-videosurveillance-sans-le-dire-a-quiconque-20240318

cc @6beer @aeris @Dignilog @eWatchers @rodolphe

via @aldrik et @pango que je remercie.

rodolphe,

@marcolibre Vu le faible niveau juridique des journaliste, il faudrait voir la décision pour savoir ce qu'elle dit exactement.

rodolphe, to random

« L'Algorithme qui Sécurise Internet (entre autres...) »
https://www.youtube.com/watch?v=1Yv8m398Fv0

Excellente vidéo sur l'échange de clé cryptographiques ! C'est la meilleure explication du Diffie Hellman que j'ai pu voir (et j'en ai déjà regardé quelques unes). Bref, je recommande fortement

Pour être taquin, l'intro sur le chiffrement symétrique reste très incomplète et se termine par un algo dangereux, mais ce n'est pas le sujet de la vidéo et il faut bien faire des choix éditoriaux. Du coup ça va, on ne peut pas vraiment reprocher ça.

J'ai peut être juste un regret sur la quasi-absence de la variante de DH par courbe elliptique, mais au moins il est bien dit qu'on utilise des variantes et l'extrait de la RFC montre justement ça. Ça permet de subtilement ouvrir sur le fait que la réalité est plus complexe.

rodolphe, to random

Le CEPD a contrôlé l'utilisation de Microsoft Office 365 au sein de la Commission européenne et en a conclu qu'il en résultait divers manquements au RGPD. Il a donc ordonné à la Commission d'arrêter tout transfert de données à Microsoft et ses partenaires.
https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf

rodolphe, to random

Me: Ho, there's a cute free-roaming bunny in the hotel lobby, let's pet it!
The bunny: https://www.youtube.com/watch?v=XcxKIJTb3Hg

rodolphe,

And here it the vicious beast.

The bunny, in its opened cage

rodolphe, to random

Quand on vous dis que la gestion du temps est une des choses les plus difficiles en programmation, ce n'est pas pour rien 😏

https://www.leparisien.fr/paris-75/paris-pourquoi-les-rues-de-la-capitale-ont-ete-plongees-dans-le-noir-la-nuit-derniere-29-02-2024-H2EHOGKJ2VE5DIU4FZTDMZMDGA.php

cyberbaloo, to random French
@cyberbaloo@mastodon.social avatar

Comment passer son permis en étant sourde ? Je sais même pas par où commencer pour chercher…

rodolphe,

@cyberbaloo Le site du service public a une page spécialisée sur le passage du permis de conduire lorsque l'on est en situation de handicap, avec une partie spécifique pour les personnes sourdes et malentendantes :
https://www.service-public.fr/particuliers/vosdroits/F2842

C'est un bon début pour se renseigner. Après, cette page peut rediriger vers d'autres pages ou organismes dédiés.

rodolphe, to random

C'est officiel, l'Agence Nationale des Titres Sécurisés (ANTS) est renommée en France Titres… 🤦‍♂️ 🤡

https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000049205088

tykayn, to random French
@tykayn@mastodon.cipherbliss.com avatar

je vous propose de me citer cinq nanas qui font des vidéos et qui ne parlent pas de beauté / lifestyle sans regarder les réponses des autres, go !

rodolphe,

@tykayn J'ai trouvé ce pouet via une réponse mais tant pis, en voici 5 dont je regarde régulièrement les vidéos et dont j'apprécie beaucoup le contenu :
Dr. Jennifer Kerner (Boneless Archéologie)
Clothilde Chamussy (Passé sauvage)
Marie Treibert (La boite à curiosités)
Sylvie Pereira
Léa Bello

rodolphe, to random

The White House's Office of the National Cyber Director published a report that studied how software development can be changed in order to improve security. Obviously, the use of memory-safe programing languages is highly recommended since memory issues are one of the main cause for vulnerabilities.

https://www.whitehouse.gov/oncd/briefing-room/2024/02/26/press-release-technical-report/

rodolphe, to random

La publication du bilan 2023 de la chaîne répressive de la CNIL me donne l'occasion de le comparer avec mes prédictions de l'année dernière.
https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-la-cnil-presente-le-bilan-2023-de-son-action-repressive

Pour rappel, en 2022 la CNIL avait prononcée 21 sanctions pour un montant de 101 277 900 €. J'avais expliqué le très faible nombre de sanctions par la lourdeur incroyable de la procédure avant d'expliquer que, pour 2023, l'arrivée des sanctions simplifiées devrait permettre « une explosion du nombre d'amende mais dont le montant total restera très majoritairement dépendant des procédures de sanction classiques ».
https://pwet.what.tf/notice/ASEqbwj15rBXAJETcO

Alors ce bilan 2023 ? Et bien, il y aura donc eu 18 sanctions ordinaires et 24 sanctions simplifiées, soit un total de 42 sanctions pour un montant de 89 179 500 €. Ce n'est pas l'explosion que j’envisageai, mais le nombre de sanctions a tout de même doublée, ce qui reste au final très positif. Le mécanisme de sanction simplifié fonctionne tout de meme assez bien, bien qu'il reste très éloigné du système « contraventionnel » mis en place par d'autres pays.

En conclusion, ce bilan de l'année 2023 est encourageant et montre un renforcement de la chaîne répressive. Il sera intéressant de voir si en 2024 les chiffres se maintiennent ou bien évoluent dans une direction ou une autre.

rodolphe,

Finalement, on dirait bien que nous n'aurons pas besoin d'attendre 2025 pour voir l'évolution du nombre de sanctions simplifiées. En effet, nous sommes à la mi-mars et la CNIL vient d'annonce que, durant ces 2 mois et demi de 2024, elle a déjà prononcé 15 sanctions simplifiées, soit environ 60% du total de 2023.

https://www.cnil.fr/fr/la-cnil-prononce-quinze-nouvelles-sanctions-dans-le-cadre-de-la-procedure-simplifiee-depuis-janvier

L'autre point très intéressant de cette annonce est la sanction des configurations TLS jugées trop faibles. Ont ainsi été sanctionnées l’utilisation de versions de TLS obsolètes (TLS 1.0 et 1.1 ont été officiellement dépréciées en 2021 par la RFC 8996), mais également, pour TLS 1.2, l'utilisation de suites cryptographiques utilisant la fonction SHA-1.

Pour information, TLS se retrouve dans HTTPS mais également dans d'autres protocoles, par exemple SMTPS ou SMTP avec STARTTLS. Pour tester la configuration de vos serveurs, vous pouvez utiliser l'excellent outil en ligne de Qualys, mais également la commande nmap.
https://www.ssllabs.com/ssltest/
La commande suivant permet de vérifier la configuration TLS du serveur « example.com » sur le port 443 (HTTPS) :
nmap --script ssl-cert,ssl-enum-ciphers -p 443 example.com

Bon à savoir : les noms des suites cryptographiques décrivent les différents algorithmes utilisés, et celles utilisant SHA-1 indiquent uniquement SHA, contrairement aux autres qui sont plus précises (ex : SHA256, SHA384).
https://fr.wikipedia.org/wiki/Suite_cryptographique
https://en.wikipedia.org/wiki/Cipher_suite

Kalytis, to random French
@Kalytis@piaille.fr avatar

Un piratage de plus de 600.000 comptes CAF a été revendiqué il y a 24 heures par un groupe de hackers.

Dans le doute, allez changer votre mot de passe dans vos espaces personnels, et faites attention aux mails que vous recevrez dans les prochains jours qui se revendiqueront de votre CAF.

(via https://twitter.com/)

rodolphe,

@Kalytis Conseil supplémentaire : ne croyez pas les infographies sur la sécurité d'un mot de passe en fonction de sa longueur et de sa composition, c'est toujours du full-bullshit.
https://rodolphe.breard.tf/article/combien-de-temps-un-pirate-met-il-pour-trouver-votre-mot-de-passe/

Après, si je suis totalement d'accord avec l'utilisation d'un gestionnaire de mots de passe qui est, à mon sens, la seule solution pour avoir des mots de passe robustes et unique pour chaque site, je trouve ton post problématique pour deux raisons :

  1. Firefox Lockwise est mort depuis un peu plus de 2 ans et est donc un très mauvais choix : https://support.mozilla.org/en-US/kb/end-of-support-firefox-lockwise
  2. Quand on recommande un gestionnaire de mot de passe, il faut absolument sensibiliser sur la sauvegarde de sa base de données car bien souvent les néophytes ne réalisent pas ou mal les risques et conséquences d'une perte de cette BDD.
rodolphe, to random

Reconquête!, le parti politique d’extrême droite fondé par Éric Zemmour, vient de se voir infligé une amende de 20 000 € par la CNIL.
Les faits en cause : la collecte de données personnelles par le biais de multiples sites internets. Cette pratique présentait un « défaut de transparence, une absence de mentions d’information relatives à la protection des données et une absence de renvoi à une politique de confidentialité ».

https://www.lemonde.fr/pixels/article/2024/02/13/donnees-personnelles-le-parti-d-eric-zemmour-sanctionne-par-une-amende_6216310_4408996.html

chulpan, to random French
@chulpan@mamot.fr avatar

Les filles qui parlent passionnément de bricolage : où sont-elles ? Où êtes-vous ?

Si vous avez des comptes sous la main, je les veux bien !

rodolphe,

@chulpan Sur YouTube :
L'excellente Sylvie Pereira : https://www.youtube.com/@SylviePereiraSyPer
L'incontournable Heliox : https://www.youtube.com/@HelioxLab
Plus récemment, Aline Dessine : https://www.youtube.com/
Et dans certaines vidéos de comme un pingouin dans le désert (tous les anciennes plus certaines nouvelles) : https://www.youtube.com/@CommeUnPingouin

philpem, (edited ) to random
@philpem@digipres.club avatar

I don't know what surprises me more - that someone is selling a home-made "encryption" app on ebay, that it's on a monthly subscription, or that someone actually bid on it.

"It uses newly created proprietary algorithm that has 8192 bits public key and PIN" 🤯 ⁉️ 🔕

First rule, don't roll your own crypto...

https://www.ebay.com/itm/204644271829

rodolphe,

@philpem I'm even more surprised that, in the screenshot, typing the wrong password displays the correct one. How is that even supposed to happen?

rodolphe, to random

Ne pas coopérer avec la CNIL est une très mauvaise idée.

Le 21 juin 2022, des agents de la CNIL contrôlent un local commercial à Pessac. Le gérant n'est pas sur place mais est joint par téléphone, et il donne notamment instruction au responsable des lieux de ne pas signer le procès-verbal dressé par les contrôleurs de la CNIL. Par le suite, la société refusera de communiquer à la CNIL les pièces demandées dans le procès-verbal. Après plusieurs relances formelles, la CNIL décide d'infliger à l'entreprise une amende administrative de 10 000 € pour manque de coopération et l'enjoint de communiquer les éléments dans un délai un mois sous astreinte de 50 € par jour de retard.

La société a contesté l'amende devant le Conseil d'État. Ce dernier a rejeté sa demande après avoir constaté que la CNIL a parfaitement respecté les procédures et était parfaitement légitime à infliger une telle amende. La société devra donc payer ce qu'elle doit au trésor public et coopérer avec les services de la CNIL.

http://www.conseil-etat.fr/fr/arianeweb/CE/decision/2024-01-30/473254

SwiftOnSecurity, to random

GDPR is what Europe has instead of God

rodolphe,

@SwiftOnSecurity Well, I guess that makes me some kind of a priest then… ¯_ (ツ)_/¯

Let's write a new European holly book.

"The path of the internet user is beset on all sides by the advertisements of the scammers and the tyranny of data brokers. Blessed is he who, in the name of privacy and personal data protection, shepherds the common users through the valley of cookies walls, for he is truly his brother's keeper and the finder of lost children. And I will strike down upon thee with legal action and corrective power those who attempt to resell my brother's personal data. And you will know my name is the data protection authority when I lay my administrative fines upon thee."

rodolphe, to random

« Czech state administration will stop providing its services over IPv4 on 6 June 2032. »

This is a huge step for IPv6 adoption, I hope other countries will do the same.

https://konecipv4.cz/en/

Cimetheia, to random French

Je me suis portée volontaire pour suivre une formation aux premiers secours, j'ai déjà commencé une liste de tous les collègues que je laisserais néanmoins sur le carreau (tous ceux qui font des blagues à base de "hihihi je ferais semblant de faire un malaise pour que tu me fasses du bouche-à-bouche")

rodolphe,

@bortzmeyer @Cimetheia Non, seulement tout un chapitre sur le droit du travail.

rodolphe,

@Cimetheia Juste au cas où, voici 3 astuces (enseignées aux urgentistes mais pas aux simples SST que nous sommes) pour démasque un simulateur :

  1. poser le corps d'un style sur l'ongle de la victime et presser : c'est très assez douloureux (possibilité de tester sur soi pour s'en rendre compte) ;
  2. ouvrir manuellement les yeux de la victime : si ça résiste c'est qu'elle simule ;
  3. soulever le bras de la victime et le laisser retomber : il doit tomber naturellement (au besoin, le faire au dessus de sa tête afin de voir s'il lui retombe bien en plein sur la tronche).

Bref, le prochain qui te fais la « blague », tu peux prendre un stylo et lui faire une démo de ce que tu feras avant de te lancer dans une RCP. N'hésites pas à appuyer fort afin de bien le calmer, ça ne laisse pas de trace.

rodolphe,

@Cimetheia Je viens de retrouver la vidéo d'un médecin qui explique tout ça et bien plus encore (la vidéo est chapitrée) :
https://www.youtube.com/watch?v=spMgO2G4AC0

Bon, le stylo sur l'ongle c'est plus de la stimulation par la douleur que de la détection de simulation, et il rajoute une autre méthode sur la mâchoire qui a l'air assez fantastique. L'ouverture des yeux et laisser le bras retomber sur la tronche en revanche c'est du vrai test de simulation ^^

rodolphe, to random

« Surveillance des salariés : la CNIL sanctionne AMAZON FRANCE LOGISTIQUE d’une amende de 32 millions d’euros »

Le point central de cette décision repose sur l'utilisation des outils de travail des salariés pour surveiller leur productivité. Où se termine l'intérêt légitime de l'employeur de mesurer la productivité et où commence la liberté des employés de ne pas être placés sous surveillance permanente ?

En l'espèce, la CNIL a jugé abusive l'utilisation des données détaillées de l'utilisation des outils de travail sur un mois ainsi que le suivi de toute inactivité de plus de 10 minutes. Ces pratiques mettent inutilement les salariés sous pression.

Cependant, l'employeur peut toujours, sous certaines conditions, utiliser les données issues de l'utilisation de leur outil de travail par les salariés. La CNIL considère ainsi que des données statistiques agrégées sur une période suffisamment longue peuvent être utilisées afin d'évaluer la productivité.

« Oui mais 32 millions d'euros c'est rien pour un géant comme Amazon ! »
La sanction concerne exclusivement la société AMAZON FRANCE LOGISTIQUE dont le chiffre d'affaire en 2022 s'élevait à un peu plus d'un milliard d'euros (1 196 258 409 €). Cette sanction représente donc un peu point de 3 % du CA (2.675 %), sachant que le montant maximal pouvant être infligé est de 4 % du CA, soit un peu moins de 48 millions d'euros (47 850 336 € et 36 centimes). Nous avons donc ici une sanction particulièrement lourde qui envoie un message fort : la surveillance abusive des salariés est sanctionnée d'une amende administrative d'un montant proche du maximum prévu par la loi.

https://www.cnil.fr/fr/surveillance-des-salaries-la-cnil-sanctionne-amazon-france-logistique-dune-amende-de-32-millions

clementd, to random French
@clementd@framapiaf.org avatar

Si vous aviez à démarrer un backoffice, vous partiriez sur quelle stack? JS front + APIs, du bon vieux back avec des templates tout prêts ?

rodolphe,

@clementd Après avoir testé rocket et actix-web, je suis finalement parti pour utiliser axum.
https://docs.rs/axum/latest/axum/

clementd, to random French
@clementd@framapiaf.org avatar

Never give up
Never surrender

rodolphe,

@clementd s/up/you up/
s/surrender/let you down/

  • All
  • Subscribed
  • Moderated
  • Favorites
  • JUstTest
  • mdbf
  • ngwrru68w68
  • modclub
  • magazineikmin
  • thenastyranch
  • rosin
  • khanakhh
  • InstantRegret
  • Youngstown
  • slotface
  • Durango
  • kavyap
  • DreamBathrooms
  • megavids
  • GTA5RPClips
  • tacticalgear
  • normalnudes
  • tester
  • osvaldo12
  • everett
  • cubers
  • ethstaker
  • anitta
  • provamag3
  • Leos
  • cisconetworking
  • lostlight
  • All magazines
    •