Notices by aeris (aeris@firefish.imirhil.fr)

@niavy@masto.bike @breizh@pleroma.breizh.pm @jenesuispersonne@piaille.fr En même temps on parle de Graph·ene·OS (même obligé d’obfusquer le truc ici…) où tu peux te prendre des méga skud dans la tronche pour avoir prononcer tu ne sais même pas quel mot…

En 2 jours, on aura quand même la France qui aura foutu dehors une dessinatrice de BD pour « menace grave pour l’ordre public » et attaquer un système d’exploitation sécurisé qui aura finit par partir de notre pays.
Je ne sais pas quand les gens vont réagir, je sens qu’on va encore une fois être bien seuls… 😑

@Eldeberen@social.middleearth.fr Si tu trouves des trucs je suis preneur, honnêtement je ne vois pas le moindre intérêt technique à ce type de merde, généralement tu cherches plutôt à pourrir l’entrée que la sortie…
Et si c’était pour tester si les waf étaient efficaces en sortie, ben spoiler : non 🤣

Je découvre que c’est férié demain… 😑

« Bonjour, on a prévu d’être un bon client chez toi. Tu nous fais une remise du coup pour bien commencer avec toi dès le départ ? »
On leur explique que normalement tu es bon client AVANT et on te fait des remises APRÈS ? 🤔

@bortzmeyer@mastodon.gougere.fr Honnêtement, ils auraient fait C4, ça aurait été encore plus mieux, histoire de troller tous les services de renseignement au passage 🤣

@iergo@mamot.fr @borisschapira@framapiaf.org @nicosomb@piaille.fr @Libellule@hachyderm.io

Avec @Norore@social.zdx.fr on fait plutôt
- Tu me fais mon petit recours devant le CE ? 😊
- Avec plaisir 🥰

#ChacunSesOccupations 🤣

How it started – How it’s going

@Exagone313@share.elouworld.org @desmu@mastodon.desmu.fr Oui tout à fait. Le TOTP standard n’est pas un facteur de possession mais uniquement de connaissance. Ce n’est donc pas une 2FA, ça reste du 1FA. Il faut une identification du DEVICE pour que ça soit 2FA.
Et en prime le TOTP ne respecte pas l’obligation de contextualisation de la validation (action, destinataire et montant)

@desmu@mastodon.desmu.fr @Exagone313@share.elouworld.org
- Windows/Mac : possible « en théorie » mais imposerait la refermeture encore plus de l’OS, comme pour Android, afin de s’assurer de la sécurité et de l’identité du périphérique
- Linux : même pas en rêve, cause point n°1
- App dédiée : difficulté du contextuel en app unique, supposerait un standard de communication (inexistant en l’état), ne change rien à la problématique du point 1 et 2, imposerait toujours Google/Apple
- Idem point 4.

@desmu@mastodon.desmu.fr @Exagone313@share.elouworld.org

Sur le 1, c’est plus ou moins ça. La banque doit GARANTIR que ton application est légitime et est strictement bien celle qu’elle livre. Aucune modification n’est autorisée dessus sous peine de rendre invalide ta 2FA. C’est pour ça que ta banque passe par Google et les Google Services qui certifient que l’appli est légitime. À terme la vérification va se durcir encore avec une validation matérielle (ce sur quoi bosse Graphene). Ça implique que tu ne puisses pas être root sur ton téléphone par exemple (sinon tu peux tout modifier).

Et l’app de la banque ne fonctionne pas qu’au cas par cas, mais exclusivement sur le matériel permettant une attestation suffisamment forte que l’application utilisée est bien légitime et réellement celle de la banque.
Sur Lineage ou AOSP, c’est mort la plupart du temps, vu que téléphone rooté ou bootloader non refermé. Sur GrapheneOS c’est mort vu que même si pas de root et bootloader refermé, la clef d’attestation n’est pas de confiance pour les banques.
En général les banques ont aussi directement attaquées les API haut niveau de Google et Apple, apportant simplicité et surtout garantie de fonctionnement pour les banques. Les téléphones sans les Google Services ou Apple Services ne peuvent donc pas faire fonctionner l’appli. C’est encore pire en mode attestation matérielle puisque là même GrapheneOS est out.

@breizh@pleroma.breizh.pm Va falloir trouver, mais c'est dans tous les cas hautement plus probable que du nuke par exemple.

@charlesp@altearn.xyz @breizh@pleroma.breizh.pm Tu peux perdre une centrale justement, mais pas 15GW d’un coup :D

@breizh@pleroma.breizh.pm @charlesp@mastodon.altearn.xyz Il est beaucoup plus facile (même si pas facile quand même) de perdre 15GW de solaire + PV pour des raisons totalement naturelles que de perdre 15GW de nucléaire qui demanderait de la défaillance coordonnée artificielle du parc nuke.

@breizh@pleroma.breizh.pm @charlesp@mastodon.altearn.xyz Surtout que, et c’est possiblement la raison côté espagnol, la perte de 15GW peut juste être causé par la surproduction ENR. Ce qui ne peut pas arrivé en nuke.
Tu surproduis un peu, le système réagit et s’emballe et tranche 15GW…

@breizh@pleroma.breizh.pm @charlesp@mastodon.altearn.xyz J’vois bien le truc que le machin a commencé à surproduire, mais que tout le monde a coupé en même temps en pensant que le voisin n’allait pas le faire…

Ça me ferait tellement marrer que le blackout général en Espagne et au Portugal soit du à une défaillance du système face à la prod chaotique de leur ENR 🤣 (C’est bien parti pour…)

On est bien parti pour… 🤣

5s. Il a fallu 5s de défaut de prod pour foutre un blackout national….Les mêmes ENRistes qui font des moyennes annuelles…

@breizh@pleroma.breizh.pm Les 15GW ils les avaient. Ils étaient à pleine balle avec le solaire juste avant le blackout, à 20-25GW. Y'avait même quasiment que ça, du solaire…