Windows sort une MAJ GOLEMIQUE, AntoineForum va CRISER !

Sinon, je pense que le terme désassemblage est plus adapté que décompilation, dans le sens où cela se traduit obligatoirement en code machine, mais que la compilation introduit une perte d'informations et ne pourra peut-être jamais être retrouvé dans son code tel que conçu à l'original (selon le langage utilisé et le compilateur)

Oui, j'ai volontairement simplifié pour les lecteurs. Je pensais en même temps au reverse-engineering de bytecode Java, ce que je fais sur mon temps libre et qui est plus accessible.

C'est aussi pour ça que je trouve stupide les fonctions de dérivation de clé de quelques chiffres sur les smartphones, pour "chiffrer", à l'aide d'une soi-disante puce magique, qui introduit un compteur de tentatives, je trouve ça stupide

C'est une question pratique, de temps et de ressources, une balance entre ton modèle de menace et le confort d'utilisation. Ces puces sont pratiques car elles sont efficaces pour faire en sorte qu'un code à 6 PIN soit suffisamment sécurisé pour le modèle de menace du quidam moyen. Quiconque souhaite une protection non-dépendante du firmware du SE (SEP ou Titan) pourra opter pour une phrase de passe à entropie plus élevée.

C'est une question pratique, de temps et de ressources, une balance entre ton modèle de menace et le confort d'utilisation. Ces puces sont pratiques car elles sont efficaces pour faire en sorte qu'un code à 6 PIN soit suffisamment sécurisé pour le modèle de menace du quidam moyen. Quiconque souhaite une protection non-dépendante du firmware du SE (SEP ou Titan) pourra opter pour une phrase de passe à entropie plus élevée.

Le truc, c'est que les FDO (ou d'autres gens) s'amusent à casser ces systèmes idiots, tôt ou tard, et disent ensuite qu'ils ont "cassé la cryptographie de tel ou tel smartphone", dans la tête des golems, donc, la cryptographie est un domaine où les algorithmes sont fragiles, alors qu'à aucun moment, les fondements de cryptographies éprouvées ne sont menacés, il s'agit plutôt d'implémentations merdiques

Dans le sens inverse, des golems peuvent devenir excessivement confiants à propos de la capacité de leur smartphone à assurer la protection de leurs données (il existe d'innombrables raisons pour lesquelles ce n'est pas le cas, avec de nombreuses attaques par canal latéral potentielles notamment, mais cette histoire de code PIN à quelques chiffres est la raison principale)

Concernant l'informatique quantique, j'ai détaillé ici afin d'expliquer, sur mon autre topic, tous ne sont pas menacés, et il existe des solution dès aujourd'hui pour ceux qui le sont (surtout les algorithmes asymétriques)
https://www.jeuxvideo.com/forums/message/1264406520
https://www.jeuxvideo.com/forums/message/1264407632

Le 21 mai 2024 à 19:06:12 :
bien content d'etre sous Mac, toujours autant de la merde Windows

Dixit le mec sous Mac

Dans le sens inverse, des golems peuvent devenir excessivement confiants à propos de la capacité de leur smartphone à assurer la protection de leurs données (il existe d'innombrables raisons pour lesquelles ce n'est pas le cas, avec de nombreuses attaques par canal latéral potentielles notamment, mais cette histoire de code PIN à quelques chiffres est la raison principale)

Je dirais qu'un code à 6 chiffres avec un SE qui throttle agressivement est assez raisonnable pour quelqu'un qui n'a pas un modèle de menace élevé, cependant, c'est en partant du principe que ce PIN lui-même est généré aléatoirement, ce qui est malheureusement rarement le cas. L'UX devrait être considérablement améliorée lors de la sélection d'un moyen de protection.

Cellebrite a récemment mis à jour sa table de compatibilité d'ailleurs, et son extraction fonctionne en BFU/AFU sur tous les Android (sauf Pixel sur GrapheneOS).

In fine, c'est toujours une question de temps et de ressources. C'est pour ça que oui, le firmware de ces SE va sûrement être "pété" bien avant qu'on ne découvre une faille dans les algorithmes employés pour le chiffrement, mais ces algorithmes ne pourront jamais compenser un manque d'entropie (et pire, quand l'utilisateur ne cherche même pas à utiliser un mode de protection généré aléatoirement).

Le 22 mai 2024 à 20:30:45 :

Dans le sens inverse, des golems peuvent devenir excessivement confiants à propos de la capacité de leur smartphone à assurer la protection de leurs données (il existe d'innombrables raisons pour lesquelles ce n'est pas le cas, avec de nombreuses attaques par canal latéral potentielles notamment, mais cette histoire de code PIN à quelques chiffres est la raison principale)

Je dirais qu'un code à 6 chiffres avec un SE qui throttle agressivement est assez raisonnable pour quelqu'un qui n'a pas un modèle de menace élevé, cependant, c'est en partant du principe que ce PIN lui-même est généré aléatoirement, ce qui est malheureusement rarement le cas. L'UX devrait être considérablement améliorée lors de la sélection d'un moyen de protection.

Cellebrite a récemment mis à jour sa table de compatibilité d'ailleurs, et son extraction fonctionne en BFU/AFU sur tous les Android (sauf Pixel sur GrapheneOS).

In fine, c'est toujours une question de temps et de ressources. C'est pour ça que oui, le firmware de ces SE va sûrement être "pété" bien avant qu'on ne découvre une faille dans les algorithmes employés pour le chiffrement, mais ces algorithmes ne pourront jamais compenser un manque d'entropie (et pire, quand l'utilisateur ne cherche même pas à utiliser un mode de protection généré aléatoirement).

Les algorithmes employés pour le chiffrement, s'ils utilisent du chiffrement par substitution-permutation comme AES-256, et que les fonctions de dérivation de clé reposent sur SHA256 ou autre, il est très probable qu'ils ne soient jamais pétés

Tout viendra de choix stupides des personnes implémentant les algorithmes, ou de l'utilisateur lui-même

Le code, en supposant bien sûr qu'il soit généré aléatoirement, même s'il comportait 10 caractères, serait pété assez rapidement avec du bruteforce, donc toute la sécurité repose sur la puce magique, et comme il n'y a rien de magique, elle se fera rétro-ingénier puis détournée

Donc tout dépend du modèle de menaces (ou bien du temps qui passera), mais c'est dingue que les utilisateurs ne soient même pas informés et qu'on leur vend ça comme une technologie hyper-robuste, en disant à chaque fois qu'une puce est inviolable, etc. et tout ça est renforcé par les médias et les évènements comme à San Bernadino (au final ils ont réussi à le déverrouiller, peut-être grâce à Cellebrite, mais le fournisseur n'est pas connu)

Donc tout dépend du modèle de menaces (ou bien du temps qui passera), mais c'est dingue que les utilisateurs ne soient même pas informés et qu'on leur vend ça comme une technologie hyper-robuste, en disant à chaque fois qu'une puce est inviolable, etc. et tout ça est renforcé par les médias et les évènements comme à San Bernadino (au final ils ont réussi à le déverrouiller, peut-être grâce à Cellebrite, mais le fournisseur n'est pas connu)

Le rôle du SE est de rendre la chose plus difficile, mais c'est toujours possible, et c'est une barrière très faible comparé à la robustesse de la cryptographie, oui. Techniquement n'importe quel smartphone en AFU tu peux le cold boot, et récupérer les tokens. Peu de gens pensent à éteindre/redémarrer régulièrement leur smartphone. Les Pixel récents ont déplacé le stockage de ces tokens dans une portion du SoC (le TEE), ce qui toujours une fois, rend le cold boot plus difficile, mais pas impossible. C'est la logique adoptée, une protection limitée dans le temps.

En somme, il faut penser à plein de vecteurs d'attaque : même si on n'a pas de moyen absolu de les contrer, les complexifier est déjà une petite victoire. Maintenant oui, il faut dissocier ça des messages marketing.

Le 22 mai 2024 à 20:10:58 :
Je pense sérieusement à faire un dual boot à l'avenir, Windows uniquement pour les jeux et Linux pour tout le reste.

et encore regarde si les jeux en questions tournent pas sous linux, tu gagneras 17% de perf https://video.hardlimit.com/w/uZGK12oU5FeSsy8CDLP4hD

Le 22 mai 2024 à 20:07:41 :
C'est pas si mal Linux

ça fait 2 jours que j'ai installer linux grace a ce topic et franchement c'est pas mal du tout, j'avais déjà installer mais j'ai ragequitte quand j'ai vue que mes applications n'était pas compatible maintenant j'utilise des alternaties

Le 21 mai 2024 à 18:59:51 :
Ce sera encore une fonctionnalité merdique et invasive à désactiver, mais, ce qu'il va se passer désormais, soit Microsoft va open-sourcer son OS, soit les API Win32 finiront par être transférées nativement sur Linux (on le voit déjà avec Wine, par exemple), Linux qui au passage se chargera d'améliorer son OS pour le rendre utilisable au quotidien (GUI, etc.) et réduire le nombre de distributions pour en finir avec ce bordel ; ainsi, ça en sera fini de se foutre de la gueule du monde, seuls les golems peuvent supporter ça, mais il va y avoir un stade où ils resteront les derniers sur cet OS, à ce rythme, Windows sera totalement remplacé par Linux, tôt ou tard

Moi ce que je vois, c'est que c'est l'enfer pour accéder à internet