La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.

Certes, mais de mon point de vue de façon un peu trop "moutonière", c'est pour ça que je bouscule un peu le consensus

Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.

J'entend tes arguments, mes je pense que tu ne vois pas tous les aspects :
D'abord si l'utilisateur est "keylogged, MITM, hacked via un exploit" c'est qu'il est visé par un attaquant sophistiqué et motivé, on peut exclure ce cas pour les usagers d'un forum ?
Ensuite s'il est "hameçonner" son navigateur ne va pas lui pré-remplir le mot de passe et il sera arrêté là (on est d'accord qu'aucun utilisateur lambda ne va taper de mémoire un mot de passe "complexe généré aléatoirement" ?)
Et concernant le "leaked car réutilisé ailleurs", d'abord n'ayant pas mémorisé le mot de passe il ne pourra pas le réutiliser facilement, il sera plus incité à en regénérer un autre dans son gestionnaire de mot de passe plutôt qu'aller rechercher/copier/coller un mot de passe existant (comptons sur sa flemme ça marche toujours), ensuite le leak étant sur des hash salés il est supposé inutilisable.

Bref l'idée de forcer l'utilisateur à utiliser des mots de passe à forte entropie est que cela l'incite très fortement à utiliser un gestionnaire de mot de passe et son générateur de mot de passe aléatoire. Bien sûr il peut y avoir des utilisateurs malveillants qui vont se donner du mal pour contourner les règles, mais les moyens à mettre en oeuvre pour les contrer dépassent largement les moyens d'un forum ou tout autre site non critique.

Mon point est qu'un TOTP n'apporte pas vraiment plus qu'un mot de passe complexe bien géré, le secret partagé n'étant pas fondamentalement différent, alors autant complexifier le mot de passe primaire. En plus ce secret partagé ne pouvant être haché sur le serveur, une fuite silencieuse permet de contourner le TOTP pour tous les utilisateurs, heureusement il ne peut pas être réutilisé entre sites.

Pour aller plus loin il n'y a que la crypto asymétrique, comme dans le Passkey, qui apporte un vrai changement de paradigme

My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.

Oui tout à fait, on est d'accord !

pour m'auto repondre à mon topic

le bridage etait hardware. j'ai 4 SSD NVme dans mon PC, et 1 des 4 bridait la vitesse à 8G de DL tandis qu'un autre encaisse 10G constant sans sourciller

c'etait donc bien un bottleneck de la machine, et non pas de la freebox, ni du reseau local

L'AV1 est en passe de devenir au fur et à mesure le standard de-facto, VVC semble prometteur, mais est sans doute bien moins soutenu/implémenté et fait probablement du licensing, j'avoue ne pas m'être renseigné outre-mesure.
J'ai trouvé cependant un petit comparatif indépendant - parce qu'à mon sens, un comparatif de la part de nvidia ne peut pas être neutre - qui est sympa à lire, notamment sur la partie adaptive quantization:
https://chipsandcheese.com/2023/04/16/codecs-for-the-4k-era-hevc-av1-vvc-and-beyond/

La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.
Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.

Pour TOUT compte disposant de privilège(s), il est nécessaire d'avoir ce genre de protection à minima, au delà de ça, si on entre dans ce genre de considération, toute la "chaîne" doit être protégée, mais pour un forum c'est un peu overkill. On tend à étendre ces protections aux consumers pour éviter la même chose, même si la criticité est moindre.

Il faut savoir également, que même avec du MFA, l'utilisateur peut quand même se faire pwn, notamment via du token replay, l'exploitation d'un méthode de récupération legacy, etc., mais la probabilité diminue quand même fortement et sa mise en place élimine un certain nombre de scénarios, on pourrait même aller plus loin avec la mise en place d'accès conditionnel, mais... non. Restons simple et cohérent.

Le modèle de sécurité global évolue, tout comme les méthodes d'authentification, le paradigme de l'identité change, mais l'héritage legacy est présent, et c'est le cas ici.
Aussi il n'y a pas que la finance, tu as également la défense, la pharmaceutique, les industries, etc. ces segments ont des réglementations à respecter, mais c'est un autre sujet.

Si on suit cette logique d'entropie pure, on pourrait aussi dire que l'entropie d'un PIN, utilisé dans les méthodes d'authentification passwordless, à 4 caractère soit considéré comme insécurisé.

Entre un PIN de 4 caractères numérique, représentant 10^4 possibilités, soit 10 000 combinaisons, et un PIN de 6 caractères numérique, de 10^6, soit 1 000 000 de possibilités, ce dernier conditionne, à la fois une différenciation d’entropie non négligeable, tout en permettant aux utilisateurs de disposer d’un PIN "mémorisable", mais plus complexe à retenir « on-the-fly ».

Un pin à 8 chiffre serait plus sécurisé, mais peut être considéré comme lourd pour le end-user, encore une fois, c'est une question de best practice et de politique de sécurité, 4 étant un minimum à utiliser, même si la tendance globale commence à être de 6.

Mais heureusement, les PINs dits "simple" sont généralement refusé à travers un algorithme spécifique, et les puces types TPM offrent des protections anti-hammering, en pratique, un nombre de tentative continu est autorisé, puis s'applique un throttling à X tentative(s) per X hour(s).

Enfin, il y a les autres facteurs qui sont présents, tout ce qu'un simple password ne peut donc pas sécuriser à lui seul.

My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.

...
J'aimerai avoir ma propre liste de chaîne gratuite dans Samsung, avec une autre numérotation (4xxx) que celle de "Samsung Plus TV" ou que la TNT. Avec VLC depuis mon Debian, je trouve que c'est bien plus facile à configurer.
Comment utilises tu ta page TV Radio ZAP.eu sans navigateur sur ton téléviseur ?

J'ai deux équipements, le Firestick d'Amazon, que j'ai débridé pour y installer n'importe quelle appli pour Android (c'est facile, ce n'est pas un vrai hack, il y a des tutoriels partout) et un récepteur SAT Edision, qui fait aussi TNT et IPTV, sous Enigma. Ce dernier est le plus pratique et sa télécommande est classique (voir le résultat sur la télé, déjà présentée dans la seconde photo du 1er post de ce fil)

Je ne sais pas trop si tu connais la télécommande de mon Samsung, mais je n'ai pas de pavé numérique, juste un gros bouton OK pour me déplacer haut, bas, gauche et droite. J'ai la possibilité de zapper avant, arrière. Je ne la trouve pas du tout pratique cette télécommande. J'ai d'autres boutons comme Netflix, Amazon Prime, Rakuten TV, home, exit, mirco, et marche/arrêt.

Quand je clique sur l'url, puisque c'est la seule façon que j'ai pour accéder à la chaîne, il me semble que la fenêtre est au format minimum. Je suis obligé de cliquer sur plein écran pour effectuer l'ajustement (le bouton en bas et à droite dans la fenêtre, à coté de celui du son).
Il faudrait le tester sur un téléviseur Samsung.

Cliquer une Url, c'est sauf cas particulier comme cliquer un lien externe au site. Si c'est Youtube, Dailymotion ou Twitch ça peut marcher, mais dans la plupart des cas ça ne devrait pas, un navigateur ne sait pas traiter les liens m3u8. Si vraiment tu peux voir par exemple Arte ou France 2, je ne vois que deux possibilités.
1) Ton navigateur contient une extension pour lire les liens m3u8, auquel cas ce qui se passe après le clic est indépendant de TVradioZap et doit se faire dans une nouvelle fenêtre/onglet.
2) le clic ne se fait pas sur l'url contrairement aux apparences mais sur le bandeau, la chaîne est ouverte normalement comme sur un PC mais dans ce cas tu devrais voir au-dessous le reste de la liste avec les autres chaînes. Est-ce le cas ?