De la sécurité suite à l'incident «Bambulab»… les «experts» donnent leurs avis

[RFN_31]

T'inquiète pour ma box, ses possibilités sont très restreintes et l'accès à mon LAN est filtré par un autre éléments. Et ma box ne peut pas déclencher un incendie...

[silvertriple]

Pourrait on revenir au sujet initial? Parce que bon, autant cela à voir avec l'incident récent, autant c'est en train de dériver largement sur un sujet qui n'a pas à priori à sa place dans ce thread, et qui pourrait tout aussi bien s'appliquer à tout les fabriquants d'imprimantes avec un coud maison et pas que Bambu Labs...

[DzzD]

il y a une heure, RFN_31 a dit :

T'inquiète pour ma box, ses possibilités sont très restreintes et l'accès à mon LAN est filtré par un autre éléments. Et ma box ne peut pas déclencher un incendie...

"Et ma box ne peut pas déclencher un incendie...", je pense que tu sous entend provoqué par un tier ? dsl, je voudrais pas rentrer dans un débat trop long, mais c'est un trés mauvais calcul, de base il faut partir du principe que si une Box peut prendre feu et même provoquer un incendie (donc ne pas laisser de combustible, linge ou autre à proximité), et je dirais même que c'est beaucoup plus fréquent que les incendie du à des imprimantes 3D...

En 2s sur internet j'ai trouvé ça, c'est une assurance, ils sont donc expert sur ce genre de sujet, c'est leur gagne pain de prévoir le nombre d'incendie ou autre sinistre et leurs causes, quand ils commenceront à mettre des clause "Imprimante 3D" la oui, il faudra s'inquiéter  

Citation

Incendies électriques en France : les chiffres

Les incendies électriques sont malheureusement fréquents. Selon les derniers chiffres de l’Observatoire National de la Sécurité Électrique (ONSE), 200 000 incendies d’habitation ont été recensés en France en 2018. Parmi ces 200 000 incendies, 50 000 étaient d’origine électrique. L’incendie électrique représente donc 25 % des incendies dans l’Hexagone.

ou ça :

Citation

D’après les chiffres du gouvernement, 1 incendie sur 4 est provoqué par une cause électrique. Dans une société où de plus en plus d’appareils fonctionnent à l’électricité et où notre mode de vie tout entier dépend de cette énergie, il est judicieux de connaitre quelles sont les causes fréquentes d’un incendie électrique.

Source : Matmut & EDF

Alors je vais quand même tempérer pour pas passer pour un démago:) oui y'a un ou deux élément chauffant dans une imprimante qui la rende plus sensible, comme dans une cafetière, un radiateur, une lampe.

 

Citation

La digression «sécuritaire» (ou pas) a été déplacée quelque part dans la rubrique «BLABLA». Merci d'y poster vos réflexions expertes dorénavant 

c'est bon, quartier libre alors !

Modifié (le) Aout 20, 2023 par DzzD

[RFN_31]

Ok tu as raison, reste sur le cloud et dans le monde bisounours car si tes seuls arguments sont ceux cités ci-dessus, je crois qu'il est inutile de débattre plus avant : considérer qu'une box est tout aussi dangereuse qu'une imprimante 3D FDM concernant le risque incendie, cela relève du troll.

Bonne continuation à toi.

[Kachidoki]

Il y a 5 heures, electroremy a dit :

Le VPN c'est en effet génial... mais en cas de piratage, le pirate a accès à TOUT.

Une autre chose à ne pas oublier est que plus une solution est populaire, plus elle est une cible de choix non seulement pour les pirates, mais aussi pour les institutions, notamment les services du ministère de l'intérieur qui demanderont une backdoor pour lutter contre les méchants pédo-nazi-terroristes.

Rien ne t'empêche de mettre le VPN du côté WAN d'un routeur, ainsi tu ne laisses ouvert que les services souhaités sur le VPN.

Pour les backdoor, il n'y a rien à faire. Même en verrouillant toutes les entrées de chez toi, à partir du moment où un programme a accès à internet, il peut téléphoner à la maison et envoyer toutes les données qu'il veut. La seule solution, bloquer toutes les sorties de chez toi, et là c'est autrement plus chiant à gérer. C'est le mode paranoïaque, où il faut autoriser les accès en sortie pour chaque programme (et non pour chaque machine), autant dire pratiquement impossible à maintenir dans un environnement domestique.

[Ironblue]

Il y a 3 heures, DzzD a dit :

 

En 2s sur internet j'ai trouvé ça, c'est une assurance, ils sont donc expert sur ce genre de sujet, c'est leur gagne pain de prévoir le nombre d'incendie ou autre sinistre et leurs causes, quand ils commenceront à mettre des clause "Imprimante 3D" la oui, il faudra s'inquiéter  

 

Bin en même temps ils vont pas dire qu'il n'y a pas d'accidents et que leur assurance ne sert à rien, on sait que les assurances sont là pour le bien de leurs assurés et que les chiffres qu'ils donnent sont super fiable (mais c'est beau de croire au père noël).... ils sont surtout expert pour soutirer un max de cotisation et rembourser à coup de pied au cul en cas de souci ....enfin je dit ça je dit rien...

[RFN_31]

+1

Modifié (le) Aout 21, 2023 par RFN_31

[divers]

En lisant vos messages, j'ai l'impression que certaines d'entre vous travaillent chez Dassault ou Safran, ou alors développent des produits classés "Secret Défense".

Quand je reprend les explications d' @electroremy sur ses protections, surprotections et contrôle de ses protections en temps réel, je me demande combien de toiles de maitre ou de lingots il possède dans son manoir de grande valeur.

Question: Comment arrives-tu à conduire ta voiture dans laquelle les risques sont mille fois plus élevés allant même jusqu'à mettre ta vie en péril, tu ne peux rien prévoir sur les erreurs des autres et les défaillances de ta voiture et celles des autres véhicules. As-tu développé des programmes d'anticipations de la circulation avec analyse des routes et des comportements à risques des autres conducteurs.

 

[Motard Geek]

il y a 21 minutes, divers a dit :

En lisant vos messages, j'ai l'impression que certaines d'entre vous travaillent chez Dassault ou Safran, ou alors développent des produits classés "Secret Défense".

Tu m'ôtes les mots de la bouche...

Quand je vois le temps que certains passent à tenter à faire de la "dégooglisation" ou plus généralement de la décentralisation pour au final ne perdre qu'en confort 

[fran6p]

@divers, sans être paranoïaque, quel industriel imprimerait ses prototypes (pas forcément «secret défense» mais «secret industriel») via cette imprimante Bambulab et son »obligation» de passer par leur cloud ?

La seule (et encore) sécurité pour un matériel informatique est :

• de ne pas le connecter sur un réseau externe,
• voire de supprimer tout moyen / matériel permettant une communication de celui-ci
• le placer dans un lieu, si possible sans fenêtres, formant une cage de Faraday évitant toute fuite de «données» radio
• sans parler évidemment des «sécurités» physiques pour y accéder
• …

On peut en plus comme l'a évoqué @Kachidoki ajouter un parefeu d'entrée en mode parano totale (les anglo-saxons ont un terme («anal…») pour définir ce mode )  mais faire tout ceci est contraignant et pas à la portée de Madame et Monsieur Michu

La «meilleure» sécurité est de ne pas allumer le matériel mais alors là, comment faire pour l'utiliser ?

La sécurité repose toujours sur le maillon le plus faible. En informatique ainsi que d'autres domaines, c'est très souvent l'humain (celui présent entre le clavier et la chaise ).

Modifié (le) Aout 21, 2023 par fran6p

[RFN_31]

C'est vrai quoi ! Halte à la paranoïa !

Mais alors, pourquoi nos hôpitaux se font hackés ??? Y'a rien de secret, et pourtant...

Si l'homme était fondamentalement bon, oui peut être ... mais nous ne sommes pas dans le monde des bisounours et rien que pour faire le buzz (ou semer la terreur, la peur et la défiance), certains pirateront ce genre de dispositif.

Il y a bien d'autres cibles potentielles, je suis convaincu.

Pas de paranoïa, mais quand on peut faire différemment et plus simple (LAN), pourquoi aller chercher la complication d'un cloud ? Le cloud simplifie la tâche de l'éditeur (il ne gère plus le matériel physique, mais présente des inconvénients qu'il faut savoir maitrisé.

[Motard Geek]

Il n'y a aucun rapport entre le maker particulier et un hôpital ou tout autre boite 

[RFN_31]

il y a 20 minutes, Motard Geek a dit :

Il n'y a aucun rapport entre le maker particulier et un hôpital ou tout autre boite 

Oui ... si tu regardes individuellement... Mais le hacker qui démarrera toutes une série d'imprimante de particuliers, de PME, ... serait à la une comme quand un hôpital se fait hacké.

De plus Bambi Lab prend un gros risque : d'abord une mauvaise presse mais surtout sa responsabilité est engagée. Tandis qu'avec une solution LAN, c'est le particulier qui ne se sera pas protégé. Je pense que cela a conduit Bambu Lab a envisagé une solution LAN

[divers]

@fran6p C’est plus compliqué et plus simple à la fois.

Pour commencer, les BambuLab sont principalement destinées au grand public et elles sont vendues à des milliers d’exemplaires sur lesquelles chacun fait de nombreuses pièces utiles ou farfelues. Chaque imprimante sert à réaliser de très nombreuses pièces, Proto, pièce de rechange, petit outillage, gabarit de contrôle, etc.

Donc au total de millions de pièces différentes à analyser pour comprendre lesquelles s’assemblent et à quoi elles peuvent servir (bon courage à ceux qui vont s’amuser à cela) de plus elles s’assemblent avec des pièces du commerce, des pièces faites avec d’autres techno (usinage, chaudronnerie, découpage, etc.) et des pièces de récup d’autres produits. Je pense que vous comprenez que le risque est extrêmement infime que cette méthode de piratage soit la meilleure qui existe.

Je reçois plusieurs fois par mois par internet des 3D de pièces non divulgables qui seront commercialisées mondialement dans 2 à 3 ans suivant le type de produit (véhicule, matériel informatique, etc.) C’est bien plus facile à pirater que les fichiers envoyés à nos imprimantes.

[fran6p]

Il y a 2 heures, RFN_31 a dit :

pourquoi nos hôpitaux se font hackés ?

Probablement par ce qu'avec leurs moyens de fonctionnement de plus en plus réduits, ils ne peuvent investir dans une «bonne» sécurité.

D'autre part, ceux qui les piratent espèrent en tirer un retour sur investissement: en gros, je vous redonne l'accès à vos données moyennant une «petite» contribution à mon compte, transaction en monnaie genre bitcoin et consort. Le temps du hack pour le hack (bref, la «beauté» du geste) est bien loin, maintenant c'est le monde capitaliste qui s'applique.

La plupart du temps, ces piratages utilisent le maillon faible : l'humain (comme dit plus haut) voir «ingénierie sociale (social engineering)» 

Modifié (le) Aout 21, 2023 par fran6p

[RFN_31]

il y a 36 minutes, fran6p a dit :

moyennant une «petite» contribution

Mais comme on ne paie pas les "rançons", la motivation est ailleurs...

[fran6p]

il y a une heure, RFN_31 a dit :

Mais comme on ne paie pas les "rançons"

Sûr ? C'est effectivement le message du gouvernement ainsi que celui des experts en sécurité.

Dans le lot, certaines sont probablement payées en partie, sans être certain que les données ne soient pas revendues sur le black market   mais pendant tout ce temps, le système informatique de l'hôpital est totalement «out», les procédures «manuelles» prennent bien plus de temps qu'avec l'outil informatique (dépendance quand tu nous tiens (par la barbichette)), ce qui n'améliore pas le système de santé déjà bien mis à mal par les politiques libérales des précédentes décennies

[Kachidoki]

Par chez moi, aux urgences les "pc" sont des raspberry pi pendus aux cables derrière les écrans, et quand ça rame trop, la dame n'hésite pas à débrancher et rebrancher la prise USB.

Je pense qu'ils n'ont pas besoin de hackers pour rendre le système informatique de l'hopital "out"...

[electroremy]

Il y a 8 heures, divers a dit :

En lisant vos messages, j'ai l'impression que certaines d'entre vous travaillent chez Dassault ou Safran, ou alors développent des produits classés "Secret Défense".

Quand je reprend les explications d' @electroremy sur ses protections, surprotections et contrôle de ses protections en temps réel, je me demande combien de toiles de maitre ou de lingots il possède dans son manoir de grande valeur.

Dans la discussion, il y a deux aspects.

 

D'abord le risque "incendie"

Il n'y a rien à voler chez moi. Que du bordel... mais des objets qui ont beaucoup de valeur pour moi. 

Un incendie c'est un drame, on pert tout, pas seulement des meubles IKEA et des appareils électroménager remplaçables, mais surtout des souvenirs... J'ai des amis à qui c'est arrivé, des passionnés d'histoire qui faisaient de nombreuses reconstitutions dans des festivals avec des tas de costumes, de décors et d'objets patiemment fabriqués par eux mêmes et accumulés pendant des années. Il ne leur reste plus rien. Ca leur est arrivé ils étaient à la retraite depuis plusieurs années, et même s'ils commençaient à fatiguer ils étaient toujours actifs. Mais cet incendie ça a été le coup de grâce. Il n'ont plus eu la force de tout refaire à zéro.  

Travaillant dans le domaine de la sécurité pour l'industrie et le bâtiment, j'ai vu à de nombreuses reprises les dégâts causés par des appareils électriques.

J'ai vu des logements et des entreprises détruites, souvent à cause d'un truc tout bête, une réparation non faite qui n'aurait pas coûte grand chose, une sécurité non-conforme ou absente qui aurait augmenté de 50€ le prix d'une installation à un million d'euros.

Surtout, ne pas oublier que dans le meilleur des cas, il n'y a que des pertes matérielles.

Quand il y a des morts ou des blessures avec handicap à vie c'est autre chose... Le pire c'est quand un parent survit mais pas ses enfants.

Je souhaite que ce genre de chose n'arrive à personne.

 

Enfin, le risque de "piratage"

Pas besoin de travailler dans un domaine "Secret Défense"

Mon entreprise a été victime d'un ransomware. Elle s'en est remise. Mais 2 mois de stress, du chômage technique pour les uns, des heures supp pour les autres en mode "dégradé", puis ensuite il faut rattraper tout le boulot... les salariés ont perdu du salaire et des congés. Ca avait gâché les vacances de Noël de tout le monde. On a perdu des clients. On a pas eu les primes alors que si ce piratage n'était pas arrivé on avait fait un super chiffre. Pas cool comme expérience.

Il y a aussi des particuliers qui se font pirater. Le compte bancaire et livrets d’épargne vidé, parfois les économies de toute une vie, et la grosse galère pour récupérer une partie des sommes. Ou pire : l'usurpation d'identité, la galère puissance 10 : car souvent l'usurpateur est un délinquant, vous recevez les contraventions, les convocations au tribunal, quand ce n'est pas la pat patrouille qui débarque chez vous pour une perquisition...

Ca aussi, je souhaite que ce genre de chose n'arrive à personne.

[Lorenzo78]

Salut,

Je prends connaissance de ce sujet qui est très controversé.

Je croyais que le monde de l'impression 3D était sensible à des modes économiques ouverts et ou régnait le partage, la gratuité et le bénévolat. Mais des acteurs tentent de fermer les systèmes pour les ramener dans une vision mercantile où l'on recherche le profit. Dire que le "gratuit" n'existe pas est bien confortable pour ceux qui défendent cette vision des choses. Le gratuit existe mais il dérange et il a peine à s'imposer. Alors il faut s'interroger sur ce qu'est la gratuité. Si en échange vous êtes obligé de confier un maximum de données, alors là effectivement ça n'est plus gratuit. Reste que si l'on cherche un peu on peut trouver des alternatives aux systèmes pseudo gratuits. Dans le domaine de l'informatique on peut trouver des équivalents cohérents : https://archive.framalibre.org/  ou pour le système d'exploitation linux et ses nombreuses distributions. En téléphonie j'utilise LinéageOs et je suis dégooglisé au maximum. Si la rançon de mes efforts est d'y consacrer un peu plus de temps que de me rendre sur un google Store et de tout accepter en fermant les yeux, j'en retire une satisfaction évidente en ne recevant pas de spams, d'arnaques, d'appels non désirés (ou alors vraiment très peu).

C'est un choix, je ne l'impose à personne et j'ai bien conscience que la sécurité à 100% n'existe pas. Ce matin en visitant une expo, il y avait un stand de la Gendarmerie Nationale qui proposait de tester les smartphones pour voir s'ils contenaient des logiciels malveillants ( service que l'on peut obtenir dans toutes les gendarmeries d'ailleurs) , j'ai eu la satisfaction de constater qu'il n'en contenait pas (ma paranoïa ne va pas jusqu'à soupçonner les gendarmes de récupérer mes données !).

Je ne me résigne pas !

 

[electroremy]

Il y a 8 heures, Lorenzo78 a dit :

Je croyais que le monde de l'impression 3D était sensible à des modes économiques ouverts et ou régnait le partage, la gratuité et le bénévolat.

[...]

Dire que le "gratuit" n'existe pas est bien confortable pour ceux qui défendent cette vision des choses. Le gratuit existe mais il dérange et il a peine à s'imposer. Alors il faut s'interroger sur ce qu'est la gratuité.

Ne pas confondre "gratuité" et "open source / standard ouvert". Le terme anglais "free" donne une traduction française ambigüe, "free" pouvant vouloir dire "libre" ou "gratuit"

Je suis favorable aux standards ouverts.

En revanche, je pense que tout travail mérite salaire, et les informaticiens ne devraient pas être les seuls "pigeons" à travailler "gratuitement"

La posture du Fablab de Besançon m'avait choquée. Ils ne voulaient que des logiciels "gratuits" (pas seulement des logiciels "libres", mais des logiciels "gratuits") tout en insistant sur le fait que les "makers" qui concevraient des objets en 3D dans ce fablab pouvaient toucher des droits sur leur modèles, c'est à dire qu'on n'imposerait pas aux utilisateurs du fablab (financé avec nos impôts) de diffuser leur STL "gratuitement"

Donc je voudrais que l'on m'explique :

- un "maker" qui passe une après midi à modéliser un STL, en utilisant des outils mis gracieusement à sa disposition, a le droit de toucher de l'argent avec sa "création"

- mais un développeur informatique qui a passé des mois voir des années à créer ou améliorer un logiciel doit le fournir gratuitement...

Ce ne serait pas du foutage de gueule ???

En 2011 j'ai commencé à faire mon propre logiciel de conception 3D pour l'usinage puis l'impression 3D.... Je n'en finit pas d'ajouter des fonctions, il n'est pas terminé 

Mais même s'il était, il serait hors de question que je le mette à disposition gratuitement à un Fablab dont les utilisateurs pourraient s'en servir pour produire en quelque heures des modèles qu'ils vont vendre ensuite. 

La dernière prise de position de Prusa à ce sujet est assez éloquente. Prusa a joué le jeu, ils vendent du matériel tout en respectant la philosophie open source. Mais leurs concurrents ne jouent pas le jeu, ils ont profité de tout ce qui avait été fait en open source sans retour...

Modifié (le) Septembre 9, 2023 par electroremy

[divers]

Il y a 16 heures, electroremy a dit :

La dernière prise de position de Prusa à ce sujet est assez éloquente. Prusa a joué le jeu, ils vendent du matériel tout en respectant la philosophie open source. Mais leurs concurrents ne jouent pas le jeu, ils ont profité de tout ce qui avait été fait en open source sans retour...

Je dirais que Prusa a choisi une philosophie Commerciale originale et osée à l'époque: L'Open Source, qui lui a permis de fédérer un grand nombre de personnes (d'adeptes)  sans investissement publicitaire. Cela a été une grande réussite qui lui a permis de créer une grosse industrie très rentable. Félicitation pour ce coup de génie.

De la à prendre Josef pour un philanthrope, je vous laisse vos rêves de jeunesse.

Ceci-dit, j'ai acheté une dizaine de Prusa, car je les trouvais fiables, précises et abordables, mais sans jamais m’intéresser au coté Open Source (à chacun son besoin ou sa passion)

[Lorenzo78]

Les différents modèles cohabitent, gratuit, payant, open source, propriétaire, sous licence, libre ... Cependant des choix s'offre à nous, c'est le choix des citoyens ...

Les médicaments, les graines sont sous licences ou brevets, à côté de ça des gens meurent de faim ou de maladie.

Si on ne rêve plus à un monde meilleur où un peu de partage permettrait de mieux vivre, si on doit qualifier d'utopie toute espérance alors  des jours sombres nous attendent.

Lutter ou se résigner, à chacun de choisir...

[electroremy]

Il y a 4 heures, divers a dit :

De la à prendre Josef pour un philanthrope, je vous laisse vos rêves de jeunesse.

Josef Prusa n'est pas Jésus  mais c'est un chef d'entreprise que l'on peut qualifier "d'éthique"

Il a su à la fois créer une entreprise qui marche, respecter ses clients, avoir des tarifs pas si élevé que ça (regardez le prix des imprimantes pro, pas forcément meilleures sur le plan technique), proposer des produits réparables facilement, et contribuer à la communauté open source et au milieu de l'impression 3D.

Je suis nettement plus critique envers Apple et son emblématique ancien patron Steeve Jobs, qui a surjoué le rôle du bientfaiteur alors qu'il a verrouillé tout ses produits. Pensez à la pub pour le Macintosh inspirée du film de 1984, où IBM est caricaturé en despote... alors que le monde du PC est bien plus ouvert (dans les années 1990 et 2000 j'ai pu assembler moi-même mes PC en choississant la carte mère, le CPU...)

[hyoti]

il y a 43 minutes, electroremy a dit :

alors que le monde du PC est bien plus ouvert (dans les années 1990 et 2000 j'ai pu assembler moi-même mes PC en choississant la carte mère, le CPU...)

C'est toujours d'actualité du moins pour les tours.

Il est vrai que c'est principalement les gamers qui pratiquent, mais pas que.

Il y a peut-être plus de pièges que dans les années 2000, en particulier la taille de la tour et ce que l'on met dedans.

par exemple  les gros systèmes de refroidissement du CPU type noctua qui font 160mm de haut et pèse dans les 1300-1400 g.

ou des cartes graphiques extra longues.

J'en connais qui ont essayé 

 

Concernant les ordi portables, ce n'est pas vraiment à monter tout soi-même, mais il y a les modulaires.

intéressant pour la maintenance, les upgrades, ou le transformer selon les besoins.

comme ceux de Framework :

https://frame.work/fr/fr