BOUH QUE C'EST LAID.

Résumons: Régulièrement, le NIST (un organisme de standardisation américain) fait voter des standards de crypto. C'est d'eux que proviennent des standards comme l'AES ou SHA-2 (aka SHA256).
En 2007, différents algos générateurs de nombres pseudo-aléatoires avaient été proposés comme standard, dont l'un (Dual EC DRBG) recommandé par la NSA. A l'époque, Bruce Schneier (une sommité en crypto) avait analysé l'algo et trouvé des faiblesses (un biais de l'algo) qui - je cite - "ne peut être décrit que comme une backdoor". Mais il n'avait rien pour le prouver.

Nous sommes en 2013, et nous y somme: Cet algo semble en effet posséder des failles volontaires permettant à la NSA de déchiffrer les protocoles utilisant cet algo. En fait, comme beaucoup d'algo, il contient des constantes. Schneier soupçonne ces constantes d'avoir été calculée à dessein, et de faire partie d'une formule (un peu comme les paires clés privées/clés publiques).
La personne possédant le nombre secret correspondant pourrait déchiffrer un trafic TLS/SSL utilisant cet algo en observant seulement 32 octets échangés.  Et il n'y a pas que TLS qui utilise Dual EC DRBG. Il y a tout un tas de produits, à commencer par ceux de la célèbre société RSA qui - du coup - recommande à ses clients d'éviter cet algo comme la peste.
Le NIST lui-même déconseille désormais Dual EC DRBG et ré-ouvrira des discussions sur les générateurs de nombres pseudo-aléatoires.

La question posée par l'auteur de l'article est pertinente: Pourquoi la société américaine RSA a choisi cet algo comme algo par défaut dans la majorité de ses produits, alors qu'il savaient dès le départ que c'était le bébé de la NSA ?

EDIT: Une liste d'entreprises utilisant cet algo: http://sebsauvage.net/links/?FZvDyA
EDIT: Article complémentaire: http://sebsauvage.net/links/?ZUgdvA
(Permalink)

(via InternetActu.net)
(Permalink)

Bon je sais, j'ai déjà posté des trucs comme ça, mais cette variété de maïs est vraiment étonnante: Elle est naturellement colorée de cette façon. Superbe, non ?
(Permalink)

Oh tiens... quelqu'un a acheté le nom de domaine zerobin.net et a mis en place un service. Accessible en HTTPS et par TOR.
(Permalink)

(Permalink)

Représentation du code morse (long ou court) sur un arbre. Pas mal. (via http://lehollandaisvolant.net/index.php?mode=links&id=20130919233235)
(Permalink)

Je cite jeekajoo: « Le papa de Tor, Jacob Appelbaum, fait un discours au parlement européen à propos de la surveillance des états.
Video (25min) + Selection de citations (terrifiantes) + Transcript complet. » (via http://links.buntux.org/?fUhglA)

Visiblement, lui - et ses collaborateur travaillant sur TOR - sont surveillés de près. De très près.
(Permalink)

Commentaires marrants trouvés dans les codes sources (via http://qosgof.fr/fosteb//?5EAOJQ).  Excellent :-D
(Permalink)

Voilà voilà... la publicité arrive aussi sur le petit Pinterest.
(Permalink)

Oui, mais non: Feed43 c'est à sources fermées. En plus il faut se créer un compte et se connecter pour en profiter. Et c'est payant. En version gratuite c'est limité: que 20 items par flux, max 100 ko par page, et les flux ne sont mis à jour que toutes les 6 heures. Donc, ultra-bof.
(via InternetActu.net)
(Permalink)

Évolution de Shaarlimages   :-)   (http://shaarlimages.net/)
EDIT: Détail des nouveautés: https://tiger-222.fr/index.php?d=2013/09/20/01/57/26-shaarlimages-reloaded
(Permalink)

Une sorte de pastbin chiffré côté client avec mot de passe. Le code javascript semble clean (et basé sur SJCL, comme ZeroBin). Par contre il y a du Google Analytics dans la page, donc Google sait qui créé ou consulte les pastes  :-/
Les sources sont là : https://github.com/UserScape/PasteVault  (C'est lourd !)
(Oui je sais, il faudra que j'ajoute le support des mots de passe dans ZeroBin.)
(Permalink)

Effectivement, est-ce un bien pour CyanogenMod de devenir une entreprise ?  Je ne sais pas. C'est peut-être aussi pour cela qu'Apache ou Mozilla ne sont pas des entreprises mais sont restées des fondations ?
(Permalink)

Le gouvernement prévient les députés concernant la sécurité des téléphones portables qui "pourraient" être piratés, mais quand on lui montre des serveurs français hackés par des américains, bouche cousue-circulez-y'a-rien-à-voir ?  Quel foutage de gueule, quelle hypocrisie.
(Permalink)

Un site qui recense les bons plans, réductions, etc. (via http://cadian42.alwaysdata.net/?_F3YIg)
(Permalink)

Commentaire (dans un code) d'un gars qui a essayé d'écrire un parseur pour le format Photoshop (.psd).  :-D
(Permalink)

Plus de 3000 livres audio gratuits (via http://www.ballajack.com/livre-audio)
(Permalink)

D'après une étude de Disqus, ceux qui utilisent des pseudos produisent des commentaires de meilleure qualité que ceux qui utilisent leur vrai nom ou restent anonymes.
En gros, forcer les gens à utiliser leur véritablement nom n'améliorera pas la qualité des commentaires.

Comment faire, alors, pour éviter les commentaires merdiques ? Utiliser les internautes eux-même. C'est le principe de "karma" utilisé par Slashdot, Reddit et d'autres sites: Les internautes notent les commentaires. Certes ce n'est pas parfait, mais cela permet de reléguer rapidement les commentaires à la con aux oubliettes virtuelles (Virtuelles, car - par exemple sur slashdot - les commentaires sans intérêt sont repliés (et non supprimés). Ils restent donc accessibles mais ne polluent pas. Exemple: http://linux.slashdot.org/story/13/09/19/0227238/linus-torvalds-admits-hes-been-asked-to-insert-backdoor-into-linux)
(Permalink)

Oho... donc un gouvernement aurait déjà approché Linus Torvalds pour lui demander d'insérer une backdoor dans Linux. Ou alors c'est une blague de Linus.
(Permalink)

Ou.... ils ont fait fort pour ce Bundle 9. Pour 5 dollars, vous avez Trine 2, FEZ, Limbo, Bastion, FTL et bien d'autres. Pour Windows, Mac et Linux, et sans DRM.   Joli pack pour un prix aussi léger.
(http://blog.humblebundle.com/post/60946676059/introducing-humble-indie-bundle-9)
(Permalink)