Oui je pense que c'est pour la gestion des risques en général

Du spatial aussi, Ariane V avait 2 ordinateurs de bord exactement pour cette raison

Et je l'ai reçue, et j'ai commencé a le lire ^^

Plutôt d'accord, ce sujet mérite plutôt un article de blog (ou des guides en libre accès comme le fait l'ANSSI). De mon point de vue, la cybersécurité fait partie du bien commun, et il me semble étrange de vouloir en limiter l'accès par un achat. (Je comprends qu'ils ont besoin de vivre, mais pour ce sujet, je pense qu'une demande de don serait plus appropriée.)

Dans un de mes cours je montre comment rouvrir une session TSE vérouillé, sans connaitre le mot de passe sans meme toucher ni au clavier, ni a la souris. Juste avec le cable reseau. ça existe depuis bien 20 ans aussi. Mais bon parait que c'est pas un bug mais une feature :D

Le bug bounty c'est un peu une arnaque dans le principe et je pense pas que ce soit un modele saint. Tu demande a des gens de se mettre en compétition pour travailler sur tes problemes et tu paie que celui qui trouve. Tu pousse donc a la compétition et quand tu deviens bon, est ce que c'est plus rentable de vendre ta faille au bug bounty ou a un etat (voyou ou non) ?

Alors Windows s'ameliore, mais on ne peut pas comparer une faille SUDO (qui n'est pas forcement installé sur une machine au passage encore moins serveur) qui nécéssite d'etre deja sur la machine a la sécurité windows qui reste terriblement faible. J'ai deja laissé un serveur linux a poil, isntallation par defaut sur le net, je l'ai oublié pendant des mois, il ne lui ai rien arrivé. J'ai deja mis un serveur windows fraichement installé en ligne, je me suis fait voler le controle de la machine en 12 minutes. Et je parle meme pas de ce qu'on peut faire quand on se pose sur un wifi dans un restau avec les windows sur le reseau, Linux ou Mac c'est de suite plus compliqué, meme avec des réglages par défaut. Et je précise windows s'améliore énormement, mais on retire pas la réputation de passoire pendant 2 décénnies en quelques années.

@@DraakBZH en parlant de réputation, j'ai entendu au travail il y a quelques années la blague qu'il faut cliquer sur démarrer pour éteindre Windows alors que ca fait pres de 20ans qu'il n'y a plus de menu démarrer... pour en revenir au problème de sécurité, SUDO n'est qu'un avatar... ce n'est pas ca le problème ! le problème c'est que personne ne vérifie alors que sa sécurité et sa crédibilité est basé sur l'open source. A ce niveau on peut obfusquer le code... au moins ca ralentira certaines démarches malfaisante, voire du compilé... mais ca c'est windows... mais le vrai problème de fond c'est qu'il y a des programmeurs qui sortent d'école et qui ne sont pas sensibilisé à la sécurité. Pour le cas de SUDO, on est sur du bufferoverflow ! c'est juste une erreur bete de programmation ! on est pas sur une faille sophistiqué ! on est pas sur de la ruse ! juste le mec, soit par compétence, soit par étourderie a oublié de vérifier sa chaine de caractère... Il est vrai que dans les années 80-90, l'informatique n'était pas ce qu'elle est devenue aujourd'hui, et la sécurité pouvait être reléguée au second plan. Cependant, de nos jours, tout fonctionne grâce à l'informatique et la sécurité est devenue importante mais dans les écoles toutes les formations ne sensibilise pas à la sécurité ! y a des pur matheux qui font un peu de code par exemple pour qui la sécurité n'est pas leur problème Apres on est d'accord que des mecs qui sont payés par une boite et qui font des failles de sécurité comme ca ce n'est pas normal ! Sur l'open source les profils sont variés ca pourrait presque se comprendre. Mais si on est un peu cynique on pourrait penser que des ingénieurs en sécurité laisse passer des failles pour justifier leur salaire... Aussi, les mecs du privé ils sont comme tout le monde, quand il bloque ils vont chercher un morceau de code sur internet... et c'est comme ca qu'on a de l'open source dans du code privé avec les failles qui vont avec... modif: correction de fautes

@@FLMNH Alors il y a enormement de probleme dans ce que vous dites et je suppose que vous n'etes pas du métier pour affirmer ce genre de chose. Commençons par le plus trivial, Le menu démarer existe toujours sur windows je vous invite a consulter la documentation de microsoft en ligne sur windows 10 et 11 qui s'intitule "Ouvrir le menu Démarrer". Oui il s'appel toujours comme ça depuis windows 3.11 au minimum. Generalement j'evite de sortir mon CV en ligne mais des fois ça donne legerement de credibilité aux propos. J'ai une formation de dev mais ces 20 dernieres années j'ai été dev, Admin systeme, architecte cloud, dev en electronique embarqué, responsable securité, DSI, directeur technique. Aujourd'hui je rajoute l'enseignement a mes competences et j'enseigne notament dans des ecoles réputé, entre autre, la cybersécurité. de Bac+1 a Bac+5. Donc regle numéro 1 de tout mes cours de Cyber sec que ce soit pour des admin sys ou pour des dev, l'obfuscation est l'ennemie de la cybersécurité. Si vous pensez une seule seconde que l'obfuscation vous aide c'est parceque ça vous permet d'enterrer sous le tapis une quantité de problématiqu qu'en temps normal vous devriez gerer. Cela va notament invisibiliser les failles potentielles ainsi que leur exploitation a vos yeux et ceux de vos équipes. L'obfuscation devrait etre vu comme une faille en soit. C'est d'ailleurs pour ça que windows est une passoire sans nom depuis sa conception. Les failles ne peuvent pas etre recherché par des gens de tout bord mais elles le sont activement recherché par des spécialistes qui n'ont généralement pas besoin du code source et qui vont vendre ces failles souvent a des états. En revanche, je dit également que de rendre une application open source ne la rend pas "sécurisé" par defaut. D'ailleurs Si demain vous souhaitez certifier ISO 27001 il faudra faire une etude de risque et garantir que vous maitriser la sécurité de vos logiciel. Hors, contrairement a ce que certains rependent, l'open source en fait partie mais se doit d'etre un code maintenue régulièrement et avoir des audits de sécurité. Et comme c'est open source, n'importe quelle entreprise qui a besoin de ce code peut y participer humaniement ou financierement. Tous les Systemes d'exploitation considéré comme les plus sur du monde sont tous basé sur du code open source (Linux en tête). En fait ça l'est tellement que le cloud azure de microsoft tournaient encore officiellement il y a quelques années sous linux. Donc les machines windows tournaient non pas sur des hots virtuel windows (qui se targuent de fournir un service de qualité sur le sujet) mais sur du linux... C'est dire. Prenons maintenant le cas de SUDO. Donc vous partez du principe qu'un buffer overflow est une erreur bete et simple. Bon sauf qu'en C c'est l'erreur la plus commune, de la faute d'inatention au probleme le plus compliqué car C n'a pas de mécanisme de controle sur ce sujet. Donc quelques chiffre sur sudo. Le projet c'est 726 fichier, 286477 lignes de code et 85317 commentaire. A la version d'aujourd'hui, je viens de recuperer le code source du projet. Donc cette "erreur bete" se cachait dans ce projet et a été retrouvé grace au fait que le projet est audité grace au fait qu'il est open source. Une faille similaire dans windows est généralement découverte quand elle est exploité depuis des années et que ça commence a se savoir un peu trop. D'ailleurs, ce genre de faille de buffer overflow il n'y a pas forcement besoin du code source pour les trouver. En fait, c'est meme plus simple d'utiliser des outils qui les trouve a votre place plutot que de chercher directement dans un code source de plus 280k ligne. Pour ensuite forger des attaques specifique contre ces programmes. Les vrai attaque sur le code source concerne bien plus souvent des espions qui vont tenter de rejoindre des projets open source pour y integrer du code malicieu. Je vous invite a regarder plusieurs conference sur le sujet de Jean-Baptiste Kempf, chef du projet VLC ou il parle de comment ils ont du et doivent toujours gerer ce genre de probleme. En plus il en parle en Français donc c'est pratique. L'informatique est par definition faillible et je commence toujours mes cours sur une notion qui est la meme que dans cette vidéo, la question n'est de savoir SI vous allez vous faire pirater mais QUAND. A partir de la vous devez vous y preparer. Ce qui n'est pas expliquer ici c'est que sur le terrain c'est une notion de moyen et que comme personne n'a de moyen illimité alors tout est histoire de compromis et donc de comment les mesurer et les choisirs.

@@DraakBZH on dit peu ou prou la même chose... je ne dis pas que vous paraphrasez mais vous ne dite pas grand chose d'autre que moi... après je ne vais pas faire d'argument d'autorité, je laisse le lecteur juger si les informations qu'il a pu lire ont été intéressantes et/ou complète la vidéo pour finir je vais quand même vous donnez raison sur le "menu démarrer" qui je pensais a été renommé "menu d'accueil" mais OSEF un peu non ? le sujet c'était les critiques sur Windows qui sont en parties datées et/ou éculé

@@FLMNH Je me suis donc mal exprimé. Vous mettez sur un pied d'égalité niveau sécurité Linux et Windows. C'est une hérésie. Microsoft eux meme font reposé leur cloud a 60 milliard de dollars sur Linux plutôt que sur leur propre OS. Raison? performance et sécurité. C'est donc un OS open source qui est préféré a la sécurité d'un OS au code fermé. La faille SUDO dont vous parlez concerne un logiciel qui est facultatif et pas installé sur des machines considéré sécurisé la plus part du temps. Quand bien meme pour y avoir accés il faut déjà que la machine soit compromise. C'est une faille assez rare sous linux pour le coup. Alors que sous Windows c'est plus que courant justement. Et si le 10 ans vous interpelle… On peut parler de la faille de Windows BadTunnel (CVE-2016-3213 avec une severity bien supérieur a celle de SUDO que vous citez) qui a été présente pendant 20 ans dans Windows et qui permet carement de prendre le contrôle de la machine a distance. Windows s'ameliore, principalement parceque ça pouvait pas etre pire. Sécuriser une infra Windows coute bien plus cher qu'une infra linux aujourd'hui. Aucun expert en securité viendra vous dire le contraire. Windows est toujours une passoire. Le fait que Windows heberge moins de 3% des serveurs web de la planete est aussi un signe au passage. Et pareil pour le coup du dev nul qui fait des erreurs soit disant basique que personne ne vérifie. J'en ai lut des conneries mais j'avoue que celle la, elle est forte. ça se voit que vous avez strictement jamais codé de votre vie et si c'est le cas je serais curieux de voir le résultat :D De fait je ne raconte pas la meme chose que vous, vous n'avez clairement pas les connaissances ni metier ni terrain pour peser ces concepts. Vous etes clairement au debut de la courbe de dunning kruger sur ce sujet.

Sur la question "trillion vs milliard": 1 trillion pour eux = 1000 milliards pour nous donc sur ce point c'est cohérent. En revanche c'est vrai que le 8.15 du tableau et le 11 du discours sont incohérents.

​@@alexrvolt662 Ok je vois qu'il y a l'échelle longue et l'échelle courte, mais franchement c'est + logique, pr ns en tt cas, de considérer le préfixe "bi" comme la multiplication du suffixe par lui-même. Enfin c'est comme ça, les unités c'est le bazar :) Merci de ta réponse

+1 C'est un vrai sujet! C'est nos amis d'outre atlantique qui ont des problèmes avec les maths et doivent simplifier le vocabulaire... déjà qu'ils comptent en pouces, yards et miles ;) racine grecque : puissance de 10 : échelle longue (FR) = échelle courte (US) méga : 10^6 : 1 million FR = 1 million US giga : 10^9 : 1 milliard FR = 1 billion US (pourquoi? on ne saura jamais, ça n'a pas de sens, ou il fallait nommer million en unillion) tera : 10^12 : 1 billion FR (1 million de millions) = 1 trillion US (wut?!!/;?*$??) peta : 10^15 : 1 billiard FR (1 million de milliards) = 1 quadrilion US (quite à faire des conneries, autant continuer hein?) exa : 10^18 : 1 trillion FR = 1 quintillion US. ainsi "bi" n'est PAS la multiplication du suffixe par lui même sinon 1 billiard = 1 trillion (2x9 = 3x6). Mais le problème est réel! Il brouille les perceptions des ordres de grandeurs. on entend tellement d'infos à l'américaine ou le mot billion est repris sans "traduction". L'erreur d'interprétation possible est donc d'un facteur 1000! Et les gens se trompent en répétant les infos qu'ils ont entendus du coin de l'oreille, et des chiffres incohérents circulent, ce qui n'aide en rien les discussions, débats etc.

C'est p-e n *Pi^c , avec n le nbre d'essais, Pi le taux de chance de passer une couche, c le nbre de couches, mais cela peut dépasser à terme 1 ((est-ce grave / possible qu'une proba dépasse 1 )

chat gpt me dit cela : - La probabilité d'échouer à une tentative est 1−Pi^c ​- La probabilité d'échouer n fois de suite est (1-Pi^c)^n -> Donc, la probabilité de réussir au moins une fois après n tentatives est : Ps = 1 - (1-Pi^c)^n

En fait, le cas décris ici est une épreuve de Bernoulli, qui suit pour loi de probabilités la loi binomiale. Dans ce cadre, la probabilité après de multiples essais se calcule comme suit (en reprenant l'exemple de 2 essais) : probabilité d'avoir un "succès" à la première itération : p, auquel on ajoute la probabilité de réussir au 2e essai (p, la probabilité de succès ne change pas) sachant qu'on a échoué au premier (1-p). Ce qui donne p+p*(1-p). En reprenant votre exemple où un succès a 55% de chances de se produire, ça nous donne .55+.55*.45 = .7975. En effet, même si les évènements sont indépendants, on ne peut pas additionner les probabilités telles quelles, ça n'aurait aucun sens : quand on tire a pile ou face, la probabilité est de 50%, mais en tirant deux fois indépendamment à pile ou face, on a évidemment aucune garantie d'avoir pile (ou face, peut importe). Parce qu'on considère tous ces évènements indépendants ENSEMBLE, on doit conserver une trace des évènements : c'est ce qu'illustre parfaitement un arbre de probabilité puisque dans un arbre, les "jets" passés sont visuellements représentés. Par ailleurs, je vous conseillerais très fortement d'éviter de recourir à chatgpt, particulièrement pour ce qui est du raisonnement. Sans grande surprise, la formule fournie n'a strictement aucun sens (je ne vois même pas ce que représente la variable c). En l'occurence, vous avez mentionné la loi de bernoulli, c'était une excellente piste et fouiller sur les pages wikipédia associées vous aurait probablement plus aidé que GPT (je pense que si vous étiez tombés sur la loi binomiale, et pas loi de Bernoulli, vous auriez pu résoudre votre problème). Sinon pour information, il est impossible qu'une probabilité dépasse 1, c'est d'ailleurs un excellent moyen de vérifier son raisonnement : si la probabilité dépasse (ou peut dépasser) 1, c'est qu'il y a une erreur de raisonnement ou de calcul.

@@loldebiteloldebite1607 j'ai lu la page wikipédia de la loi de Bernoulli et moi binominal avant d'utiliser chatGPT, et 'c' c'est le nombre de couches de la défense.

@@loldebiteloldebite1607 J'ai lu les pages wikipédia de la loi binominal et de Bernoulli avant d'utiliser chatGPT... Je l'utilise même dans mon 1er commentaire, directement copié collé du clique droit inspection sur l'image de la formule .