Le RDV Tech #131 – Heartbleed et… le futur !

lerendezvoustech_131 - Heartbleed et... le futur !

Au programme :

  • Heartbleed, les explications
  • Le FUTUR !!! (Imprimantes 3D, nouvel Asimo, etc)

Et le reste…

Pour soutenir l’émission, rendez-vous sur http://patreon.com/RDVTech

Liens de l’épisode :

Plus d’infos sur l’épisode :

Vous pouvez télécharger le fichier MP3, et vous abonner par iTunes ou en RSS.

Commentaires

  1. Pour info, cette petite app Carrefour qui semble plutôt saintpatrick ne fonctionne qu’au Carrefour Villeneuve La Garenne (d’après la description). Je suis tristesse.

    Autre avantage pour Carrefour de ce genre d’app est de pouvoir s’immiscer dans la liste pour te pousser à l’achat :
    « Hey, t’as pris du Nutella y a deux mois… Faudrait peut-être en racheter ? »
    « En général t’achètes du PQ tous les mois, il est temps d’y penser »
    « Je vois que tu as acheté un concombre, 32% des gens ayant acheté un concombre ont également acheté du Gel Durex Play »

  2. Moi pour Heartbleed je me suis dis :
    « Bon, ça arrive tout les jours… »
    « Je change juste les mots de passe sur les sites ou j’ai le plus de données (twitter, google…) et garder l’ancien pour les autres »
    « Je vais attendre notre Patrick pour la suite… »

    J’ai vu cela comme « c’est la fin du monde !! ».

    Pour la NSA je me suis dis : « Ils vont mentir et ils l’ont exploité ! »
    La communication était comme celle d’Edward Snowden pour la NSA.

  3. Hello, je viens apporter le sujet des empreintes remplaçant les mots de passes.
    Je reprend le titre d’un article anglais, « les empreintes sont des identifiants, pas des mot de passes ».

    Effectivement, revenons 1 mois en arrière, tout le monde pensait que OpenSSL était sécurisé qu’il n’y avait pas de problème. Bilan, les mots de passe doivent être changés car ils aurait aurait pu être accessible à qui savait les chercher.
    Il est donc difficile de se dire que le système d’encryptage des empreintes ne rencontre pas le même problème un jour. Ce n’est pas le soucis, tous les systèmes ont leurs faiblesses, le vrai problème vient du fait qu’on ne pourra pas changer d’empreintes si elles sont exposées un jour. Sachant qu’avec les nouvelles cartes d’identité, les aéroports… nos empreintes sont déjà stockés et éventuellement accessible si une faille est trouvé dans ces systèmes.

    Le remplaçant du mot de passe devra donc combler cette faille, être renouvelé une fois compromis, et malheureusement la biométrie ne s’y prête pas tellement.

    voila l’article source: http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html

    • Tu as tout à fait raison, le fait de ne pas pouvoir en changer est un gros soucis, qu’il faudra résoudre à terme… Disons que beaucoup y pense comme 2ème ou 3ème facteur d’authentification, de manière à rendre les hacks assez difficiles pour qu’ils ne soient plus intéressants financièrement pour les malfaiteurs.

  4. Tu peux aussi m’appeler Cédric.
    J’utilise un pseudo car je ne veux pas que la NSA me donne le prix noble du plus grand nombre de faute d’orthographe (même si je sais que ortho veut dire droit (la NSA ne respecte pas tous les droits) et graph ecriture). xD

    Je donnerai au patreon quand j’aurai une revenue d’argent (dans une dizaine d’années).

    J’adore vraiment l’émission et les commentaires !

    À plus tard dans Appload !

  5. Malgré le dimanche Pascal, on a un podcast de Patrick ;)

    On remarque avec Hearbeat à quel point un nombre important d’acteurs utilisent l’opensource :)

    De mémoire OpenSSL est développé par les mecs de OpenBSD
    Merci patrick de souligner le gros avantage de l’open source: que n’importe qui (aui en a les compétences bien sur) puisse voir et signaler le problème ;)

    Pour rappel, les bonnes pratiques de sécurité recommande d’avoir plusieurs mécanismes différent: ce que l’on sait + ce que l’on possède
    Pour cela,la double authentification mot de passe + google authenticator, ou mot de passe + sms sont très bien et permette d’avoir un mot de passe plus léger ;)

    Pour l’imprimante 3D, personnellement je crois plus à la multiplication de boutique et autre service pour nous imprimer en bonne qualité nos demandes qu’à l’arrivée de celles-ci dans nos foyer.
    Je prends l’exemple de Sculpteo, cette boite qui a (de mémoire) été le premier à proposer ce service d’impression 3D en ligne.
    Si aujourd’hui vous avez besoin d’imprimer : une pièce cassé d’un meuble ou d’un appareil (cuisine, armoire…) ou de faire un cadeau original, il vaut mieux passer par un service comme le leur qui proposera non seulement le choix du matériau mais de plus une qualité de prestation sans avoir à investir des mille et des cents :)

    De plus, investir aujourd’hui dans une imprimante 3D c’est un peu comme (à l’époque des premieres imprimantes laser) investir dans une imprimante laser entrée de gamme pour imprimer ses photos de vacances… autant passer par des services en ligne ou sur place comme photobox, la fnac and co pour avoir un rendu de qualité plutot que d’investir dans une machine pour tirer des rendus de moins bonne qualité :(

  6. Merci de souligne Aldebaran Robotics avec son porte étendard : Nao ;)
    Premier vrai « robot » accessible au public:
    http://www.humanoides.fr/2013/12/16/nao-bientot-en-vente-pour-le-grand-public/
    Le site http://www.aldebaran.com/fr/qui-est-nao

    Pour les passionnés de robotique, il faut voir l’interview du fondateur d’Aldebaran qui compare l’ère robotique actuelle à l’avènement de l’ordinateur, pour lui Nao c’est un le premier pas vers la démocratisation du robot comme les premiers ordirnateurs « grand public »
    Son interview de l’époque très interessante: http://www.dailymotion.com/video/xeau4f_interview-bruno-maisonnier-aldebara_tech

    Note HS: on vous entends à chaque épisode citer les patreote, où en êtes vous dans la liste des personnes à citer ? la moitié, le quart ?

    • On en fait 20 par épisode, donc là on en a fait 120; tu es 147ème dans la liste si je ne m’abuse, donc ton nom sera mentionné au numéro 133. Ca arrive ! :)

  7. En parlant d’Aldebaran des nouvelles de Romeo (nao en grand) http://www.lefigaro.fr/secteur/high-tech/2014/03/18/01007-20140318ARTFIG00108-romeo-le-robot-humanoide-made-in-france-devoile-pour-la-premiere-fois.php

    Au fait, disponible à la vente ici: http://www.generationrobots.com/fr/401617-offre-essentielle-robot-humano%C3%AFde-programmable-nao-next-gen.html
    Le prix est un peu élevé, mais on est loin du lego mindstorms (400 euros environ)

    Si vous avez la possibilité Patrick, un rdvTech avec Bruno Maisonnier ou une personne de son équipe serait très apprécié et très intéressante ;)

    • En fait, je faisais allusion à Aldebaran, notamment parce qu’une de mes anciennes collègues de travail est devenue entre temps la community manager de cette société, et je les trouve assez bon. :)

      • Ca pourrait être interessant de l’inviter non ?

        On parle beaucoup des smartphones et autres internet des objets, mais on s’interesse peu à cette révolution de la robotique qui est en bonne marche ;)

        Les robots « domestiques » commes les aspirateurs et tondeuse est un bon exemple également de l’IA appliqué au quotidien :)

  8. Concernant heardbleed, je suis d’accord qu’il y a peut être eu un emballement médiatique sur le sujet cependant je suis certain que le coup de marketing était nécessaire, sinon le bug serait encore présent pour de nombreuses années (avec les implications que tu as données)

    Toutefois, j’ai peut être mal compris ta vision mais j’ai du mal à comprendre la préconisation de ne changer que les mots de passes des sites sur lesquels on se serait connecté depuis 2 ou 3 semaines.
    Le bug était présent depuis 2 ans sur toutes les releases d’openssl 1.0.1 (seule version supportant les derniers protocoles TLS v1.1 et v1.2).
    Tu pars du principe que personne n’a exploité la faille avant que celle-ci n’ai été révélée dans la publication de la CVE-2014-0160, tout en disant que la NSA l’a probablement fait, sachant qu’aucune de ces assertions n’est vérifiable.
    Comme avec un lastpass, keepass ou Dashlane, il est facile de changer ses mots de passe, le mieux est de passer sur l’utilisation d’un de ces produits puis de le faire pour tous les sites qui ont été vulnérables.
    Et vous pouvez aller pour savoir si vous utilisez des sites qui ont été vulnérables sur https://lastpass.com/heartbleed même sans compte lastpass.

    Par rapport a des remarques ci-dessus, on parle généralement d’authentification à double facteur plutot que de double authentification, et celle ci consiste à utiliser 2 éléments différents parmi
    * ce que l’on sait (ie mot de passe, code pin)
    * ce que l’on possède (ie telephone pour un SMS, clé usb, securID, carte magnétique, certificat…)
    * ce que l’on est (tous les éléments biométriques dont les empreintes)
    il est donc fort probable qu’assez vite on en vienne à sécuriser les « ce que l’on est » avec un « ce que l’on sait », donc je ne suis pas sur que le mot de passe soit mort…

  9. Bonjour Patrick,

    tout d’abord bravo pour tes podcasts souvent passionnants et jamais ennuyeux

    j’ai été très étonné de ne pas avoir entendu parler dans ton dernier RENDEZ-VOUS tech du bug microsoft qui est apparu mercredi 16 Avril, qui a planté une grande partie des Windows XP équipés de Microsoft security essentiels
    Je suis technicien caisses enregistreuses, dans notre monde nous installons encore des windows XP !
    ce mercredi 16 nous avons eu de nombreux appels de clients bloqués avec des messages d’erreurs et impossible de faire quoi que ce soit, puis quelques heures après le PC se remettait a fonctionner petit a petit si toutefois on ne le redémarrait pas…
    en fait, c’est une mise à jour de security essentiels qui a causé se bug utilisant 100% des ressources du micro et empêchant son fonctionnement,
    c’est dingue juste après l’arrêt du support du XP de nous faire ce bug ??
    la solution est simple, supprimer security essentiels et mettre un vrai antivirus
    as tu entendu parler de ce bug car si dans notre petite société nous avons déjà eu 2/3 PC touchés et plus de 20 clients, je pense que nous ne devons pas être les seuls …
    peut être un sujet a creuser pour le prochain RENDEZ-VOUS tech car je serai intéressé d’en savoir plus la dessus

    encore merci pour tes podcasts
    Stéphane

    • Salut Stéphane et merci des compliments ! :)
      Je t’avoue que je n’avais pas entendu parlé de ce bug, malgré toutes les publications que je lis, donc j’imagine qu’il n’était pas si répandu que ça ? Ca a l’air un peu chiant en effet, mais je t’avoue que j’ai toujours un peu de mal avec ces histoires : XP est un système vieux de presque 15 ans, et on ne peut pas demander à Microsoft de maintenir leurs OS pour toujours, non ? Certains équipementiers ne voudront jamais changer l’OS s’ils n’y sont pas obligé, mais au bout d’un moment il faut bien que Microsoft se concentrer sur les OS actuels… A coté de ça, je comprends que ça soit super pénible, et le bug qui arrive pile à ce moment est d’autant plus gênant ; ça a pas du être marrant pour toi ! Voila pour mon commentaire sur la chose… :)

      • Merci pour cette réponse rapide bien digne de toi même un dimanche !

        je suis tout a fait d’accord qu’il était temps d’arrêter les mise a jour d’XP pour pouvoir passer a autre chose et évoluer …
        mon coup de gueule est plutôt au niveau de cette mise a jour qui a réussie a planter tant de micros en même temps
        maintenant je suis aussi d’accord … qui utilise security essentiels pour protéger un XP en 2014 a part une petite société de province !

Exprimez vous!

*