Notices by aeris (aeris@firefish.imirhil.fr)

@Exagone313@share.elouworld.org @desmu@mastodon.desmu.fr Oui tout à fait. Le TOTP standard n’est pas un facteur de possession mais uniquement de connaissance. Ce n’est donc pas une 2FA, ça reste du 1FA. Il faut une identification du DEVICE pour que ça soit 2FA.
Et en prime le TOTP ne respecte pas l’obligation de contextualisation de la validation (action, destinataire et montant)

@desmu@mastodon.desmu.fr @Exagone313@share.elouworld.org
- Windows/Mac : possible « en théorie » mais imposerait la refermeture encore plus de l’OS, comme pour Android, afin de s’assurer de la sécurité et de l’identité du périphérique
- Linux : même pas en rêve, cause point n°1
- App dédiée : difficulté du contextuel en app unique, supposerait un standard de communication (inexistant en l’état), ne change rien à la problématique du point 1 et 2, imposerait toujours Google/Apple
- Idem point 4.

@desmu@mastodon.desmu.fr @Exagone313@share.elouworld.org

Sur le 1, c’est plus ou moins ça. La banque doit GARANTIR que ton application est légitime et est strictement bien celle qu’elle livre. Aucune modification n’est autorisée dessus sous peine de rendre invalide ta 2FA. C’est pour ça que ta banque passe par Google et les Google Services qui certifient que l’appli est légitime. À terme la vérification va se durcir encore avec une validation matérielle (ce sur quoi bosse Graphene). Ça implique que tu ne puisses pas être root sur ton téléphone par exemple (sinon tu peux tout modifier).

Et l’app de la banque ne fonctionne pas qu’au cas par cas, mais exclusivement sur le matériel permettant une attestation suffisamment forte que l’application utilisée est bien légitime et réellement celle de la banque.
Sur Lineage ou AOSP, c’est mort la plupart du temps, vu que téléphone rooté ou bootloader non refermé. Sur GrapheneOS c’est mort vu que même si pas de root et bootloader refermé, la clef d’attestation n’est pas de confiance pour les banques.
En général les banques ont aussi directement attaquées les API haut niveau de Google et Apple, apportant simplicité et surtout garantie de fonctionnement pour les banques. Les téléphones sans les Google Services ou Apple Services ne peuvent donc pas faire fonctionner l’appli. C’est encore pire en mode attestation matérielle puisque là même GrapheneOS est out.

@breizh@pleroma.breizh.pm Va falloir trouver, mais c'est dans tous les cas hautement plus probable que du nuke par exemple.

@charlesp@altearn.xyz @breizh@pleroma.breizh.pm Tu peux perdre une centrale justement, mais pas 15GW d’un coup :D

@breizh@pleroma.breizh.pm @charlesp@mastodon.altearn.xyz Il est beaucoup plus facile (même si pas facile quand même) de perdre 15GW de solaire + PV pour des raisons totalement naturelles que de perdre 15GW de nucléaire qui demanderait de la défaillance coordonnée artificielle du parc nuke.

@breizh@pleroma.breizh.pm @charlesp@mastodon.altearn.xyz Surtout que, et c’est possiblement la raison côté espagnol, la perte de 15GW peut juste être causé par la surproduction ENR. Ce qui ne peut pas arrivé en nuke.
Tu surproduis un peu, le système réagit et s’emballe et tranche 15GW…

@breizh@pleroma.breizh.pm @charlesp@mastodon.altearn.xyz J’vois bien le truc que le machin a commencé à surproduire, mais que tout le monde a coupé en même temps en pensant que le voisin n’allait pas le faire…

Ça me ferait tellement marrer que le blackout général en Espagne et au Portugal soit du à une défaillance du système face à la prod chaotique de leur ENR 🤣 (C’est bien parti pour…)

On est bien parti pour… 🤣

5s. Il a fallu 5s de défaut de prod pour foutre un blackout national….Les mêmes ENRistes qui font des moyennes annuelles…

@breizh@pleroma.breizh.pm Les 15GW ils les avaient. Ils étaient à pleine balle avec le solaire juste avant le blackout, à 20-25GW. Y'avait même quasiment que ça, du solaire…

@mathiswashere@mamot.fr @breizh@pleroma.breizh.pm Il est packagé pour Arch dans AUR si tu veux : https://aur.archlinux.org/packages/atproto-pds

@mathiswashere@mamot.fr @laetsgo@mastodon.xyz @leto@social.zdx.fr @xakan@social.zdx.fr Non, absolument pas. On compte quasiment 700 PDS et une 20aine d’AppView, n’importe qui peut monter son labeler aussi pour gérer la modération.

@laetsgo@mastodon.xyz @mathiswashere@mamot.fr @xakan@social.zdx.fr @leto@social.zdx.fr Il y a plein d’instances et c’est full décentralisé depuis bientôt deux ans hein 😊

@mathiswashere@mamot.fr @laetsgo@mastodon.xyz @leto@social.zdx.fr @xakan@social.zdx.fr En gros : l’équivalent de 700 petites instances Fedivers et de 20 grosses instances. (Mais c’est vraiment un gros raccourci hein)

@mathiswashere@mamot.fr @laetsgo@mastodon.xyz @leto@social.zdx.fr @xakan@social.zdx.fr J’en déduis exactement la même chose que quand Mastodon a unilatéralement implémenté les MP quand GNU/Social ne les supportait pas, que les sondages ne sont toujours pas disponibles partout sur le Fedivers ou que MFM n’existe que sur certaines. C’est-à-dire : rien.

@mathiswashere@mamot.fr @laetsgo@mastodon.xyz @leto@social.zdx.fr @xakan@social.zdx.fr Parce que c’est faux. N’importe qui peut monter son service de labeler et faire la modération qu’il veut sur le réseau.

@mathiswashere@mamot.fr @laetsgo@mastodon.xyz @leto@social.zdx.fr @xakan@social.zdx.fr Les décisions politiques prises par Mastodon sont en pratique bien pires que celle de BlueSky, mais bizarrement personne n’en a fait un fromage.

@mathiswashere@mamot.fr @laetsgo@mastodon.xyz @leto@social.zdx.fr @xakan@social.zdx.fr Dans son propre sous-réseau, qui ne sera reconnu que par lui seul et de ceux utilisant son labeler.