Notices by aeris (aeris@firefish.imirhil.fr)

@shaft@piaille.fr Qu’est-ce qu’on avait plus la paix sur GNU/Social :D

Et là, c’est le moment où les travaux vont devenir le purain d’enfer sur terre… 😑

- ils ont rien foutu depuis vendredi, et commencent à baliser que ça sera pas fini pour la semaine prochaine comme attendu
- ils commencent à nous refacturer des trucs qui auraient dû être dans le devis

- Ah non mais c’est obligatoire ces travaux, et ça m’a pris 30 minutes
- Oui et donc si c’est obligatoire, vous comprendrez bien que c’était déjà supposé être dans votre devis initial. Et donc pourquoi vous voulez nous facturer 12.000€ vos 30 minutes de travail ?

- Et j’ai une question du coup : vous avez fait quoi d’autre depuis lundi ? Surtout en nous annonçant 15 jours de retard derrière.

C’est étonnant quand même… le chaînage des murs qui n’était pas supposé pouvoir se faire en même temps à droite et à gauche et en 3 jours, ben une fois que t’as gueulé un coup, il se fait en même temps et en une demie-journée.

Mon chaton après la conf call avec les artisans :
- J’ai jamais vu quelqu’un bégayer autant au téléphone

Faut pas me faire chier, et faut se renseigner un peu sur qui on a à faire, et pourtant la préparation du chantier aurait du vous mettre la puce à l’oreille 🤣

@niavy@masto.bike @breizh@pleroma.breizh.pm @jenesuispersonne@piaille.fr En même temps on parle de Graph·ene·OS (même obligé d’obfusquer le truc ici…) où tu peux te prendre des méga skud dans la tronche pour avoir prononcer tu ne sais même pas quel mot…

En 2 jours, on aura quand même la France qui aura foutu dehors une dessinatrice de BD pour « menace grave pour l’ordre public » et attaquer un système d’exploitation sécurisé qui aura finit par partir de notre pays.
Je ne sais pas quand les gens vont réagir, je sens qu’on va encore une fois être bien seuls… 😑

@Eldeberen@social.middleearth.fr Si tu trouves des trucs je suis preneur, honnêtement je ne vois pas le moindre intérêt technique à ce type de merde, généralement tu cherches plutôt à pourrir l’entrée que la sortie…
Et si c’était pour tester si les waf étaient efficaces en sortie, ben spoiler : non 🤣

Je découvre que c’est férié demain… 😑

« Bonjour, on a prévu d’être un bon client chez toi. Tu nous fais une remise du coup pour bien commencer avec toi dès le départ ? »
On leur explique que normalement tu es bon client AVANT et on te fait des remises APRÈS ? 🤔

@bortzmeyer@mastodon.gougere.fr Honnêtement, ils auraient fait C4, ça aurait été encore plus mieux, histoire de troller tous les services de renseignement au passage 🤣

@iergo@mamot.fr @borisschapira@framapiaf.org @nicosomb@piaille.fr @Libellule@hachyderm.io

Avec @Norore@social.zdx.fr on fait plutôt
- Tu me fais mon petit recours devant le CE ? 😊
- Avec plaisir 🥰

#ChacunSesOccupations 🤣

How it started – How it’s going

@Exagone313@share.elouworld.org @desmu@mastodon.desmu.fr Oui tout à fait. Le TOTP standard n’est pas un facteur de possession mais uniquement de connaissance. Ce n’est donc pas une 2FA, ça reste du 1FA. Il faut une identification du DEVICE pour que ça soit 2FA.
Et en prime le TOTP ne respecte pas l’obligation de contextualisation de la validation (action, destinataire et montant)

@desmu@mastodon.desmu.fr @Exagone313@share.elouworld.org
- Windows/Mac : possible « en théorie » mais imposerait la refermeture encore plus de l’OS, comme pour Android, afin de s’assurer de la sécurité et de l’identité du périphérique
- Linux : même pas en rêve, cause point n°1
- App dédiée : difficulté du contextuel en app unique, supposerait un standard de communication (inexistant en l’état), ne change rien à la problématique du point 1 et 2, imposerait toujours Google/Apple
- Idem point 4.

@desmu@mastodon.desmu.fr @Exagone313@share.elouworld.org

Sur le 1, c’est plus ou moins ça. La banque doit GARANTIR que ton application est légitime et est strictement bien celle qu’elle livre. Aucune modification n’est autorisée dessus sous peine de rendre invalide ta 2FA. C’est pour ça que ta banque passe par Google et les Google Services qui certifient que l’appli est légitime. À terme la vérification va se durcir encore avec une validation matérielle (ce sur quoi bosse Graphene). Ça implique que tu ne puisses pas être root sur ton téléphone par exemple (sinon tu peux tout modifier).

Et l’app de la banque ne fonctionne pas qu’au cas par cas, mais exclusivement sur le matériel permettant une attestation suffisamment forte que l’application utilisée est bien légitime et réellement celle de la banque.
Sur Lineage ou AOSP, c’est mort la plupart du temps, vu que téléphone rooté ou bootloader non refermé. Sur GrapheneOS c’est mort vu que même si pas de root et bootloader refermé, la clef d’attestation n’est pas de confiance pour les banques.
En général les banques ont aussi directement attaquées les API haut niveau de Google et Apple, apportant simplicité et surtout garantie de fonctionnement pour les banques. Les téléphones sans les Google Services ou Apple Services ne peuvent donc pas faire fonctionner l’appli. C’est encore pire en mode attestation matérielle puisque là même GrapheneOS est out.

@breizh@pleroma.breizh.pm Va falloir trouver, mais c'est dans tous les cas hautement plus probable que du nuke par exemple.

@charlesp@altearn.xyz @breizh@pleroma.breizh.pm Tu peux perdre une centrale justement, mais pas 15GW d’un coup :D