Le 08/08/2022 à 09h 43

Deux choses me font réagir à cette annonce de Twitter:

1) Manque d’investigations de la part de Twitter
Pourquoi donc Twitter a-t’il attendu la publication d’une fuite de données sur Breached pour entreprendre les investigations sur l’usage de la faille antérieurement à janvier 2022 ? En effet, en cas de découverte d’une faille, une structure ayant autant de comptes se doit d’établir si ladite faille a été exploitée … Il apparaît peu semblable qu’un exploit d’usage collectant 3% des comptes ne soit pas identifiable dans une analyse fine des logs D’ailleurs le délai de 15j semble montrer que Twitter a attendu de pouvoir investiguer sur la véracité de la fuite, très certainement en établissant cette analyse

2) Trop faible financement du BugBounty
L’écart est de X6 entre le montant de la prime octroyée par Twitter à l’auteur(rice) de la découverte de la faille et le hacker qui revend son usage. Quel est le plus lucratif : remonter des failles à Twitter ou monétiser leur usage pour vendre des données ?
Une société qui fait 221 M$ de bénéfices devrait afin d’assurer la protection des données de ses utilisateurs payer plus cher une remontée de faille que ce qui pourrait résulter de son usage.

Le 02/06/2021 à 13h 44

Si qq’un me lit côté enquêteurs mes DM sont ouverts sous twitter (et pas compliqué de trouver mes coordonnées sur LinkedIn). Sujet à échanges : outils/moyens de conservation de la preuve lors de découverte d’une infraction :-)

Le 05/05/2021 à 10h 54

Donc dès qu’un propos public est porté à son encontre, on peut publier (à plusieurs) des faits, même si ceux-là sont de véritables atrocités, juste en invoquant le droit de réponse

Le 02/03/2021 à 13h 49

Deux trames de chiffres pour illustrer l’incompétence et le marasme collectif en matière de protection des données de santé des français :

• D’un côté, on est dans un pays prêt à trouver/mettre 1 Milliard d’euros sur 4 ans pour augmenter la sécurité des SI


• De l’autre côté, on se revoit la balle sur une fuite de données dont l’origine aurait été décelée et remontée par la plus haute instance nationale en la matière voici déjà 4 mois ; avec une seconde louche/alerte il y a 3 semaines par un site spézializé concernant un fichier d’un demi-million d’entrées qui se télécharge depuis le Net à gogo depuis maintenant 2 semaines.

Et encore ce jour (enfin hier), l’instance la plus haute en matière de protection des données à caractère personnel, nous dit juste : tout va bien on a eu les remontées des labos incriminés … sans aucun information si ce ¹⁄₂ million est l’épaisseur du trait ou la totalité des données ayant fuitée.

Le pire dans tout cela, reste qu’il faille plus attendre d’experts ou de sociétés spécialisées en Cyber que de l’Etat et de ses organismes, pour mettre à disposition (non sans risque) des outils pour permettre aux victimes de s’identifier !?!

Encore pire, aucune garantie ne sera établie ou communiquée permettant d’attester que les notifications émanant des labos (si elles parviennent toutes selon l’adresse postale détenue par le labo) couvriront l’ensemble des 491 840.

Quand aux sanctions, attendons encore avant de rire jaune sans doute en découvrant l’attribution des responsabilités de ce fiasco.

Le 27/02/2021 à 12h 17

Cela ne sera hélas pas probant pour permettre aux victimes de s’identifier. En effet, de ce que j’ai pu obtenir comme info, seulement une minorité des 500.000 lignes (moins de 15%) contiennent une adresse email (alors qu’il y a tous pleins d’autres données à caractère personnel, à commencer par le numéro de sécurité sociale et les principales caractéristiques de son porteur).

Pour ce qui est des identifiants et mot de passe d’accès distant, la proportion est également faible et l’identifiant n’est pas une adresse email.

La seule, juste et correcte manière à mon sens de procéder à l’identification et à la notification des personnes concernées par cette fuite de données est de prendre l’identifiant NIR et de faire cette alerte via les informations de contact de l’assurance maladie … autant dire que ce n’est pas prêt d’arriver :/

Le 18/06/2020 à 10h 27

Dommage que l’article ne mentionne pas le travail de collecte de @SwitHak concernant les objets connectés impactés par #Ripple20
Voici le lien :https://gist.github.com/SwitHak/5f20872748843a8ad697a75c658278fe

Le 14/04/2020 à 13h 00

Soriatane a écrit :

Je suppose que les solutions autohébergé de Jisti ou Nextcloud Talk ou d’instance de CHATONS ne peuvent être sous le coup du Cloud Act.
Les CHATONS ou le petit serveur hébergé chez un particulier ne sont soumis à la loi américaine.


Le cloud Act s’applique dès lors que l’entreprise offrant la solution/service est soumise à la loi US ou bien s’effectue par des ressortissants américains et/ou depuis le territoires américains.
 
Une installation d’un serveur Jitsi sur une VPS voir même sur le Nextcloud hébergé sur son NAS Syno (ça devrait être possible maintenant) n’est donc pas concerné, du moment que ce n’est pas sur le territoire américain.

Reste la question de l’hébergeur Cloud de la solution. Je ne suis pas assez calé en droit pour savoir si les services US pourraient - sur la base seul du Cloud Act - accéder aux données d’une VM/VPS.

Le 14/04/2020 à 12h 52

Je ne connais pas Jami, je regarde dès que j’ai un peu de temps

Le 14/04/2020 à 11h 30

Les améliorations de Sécurité, dont la capacité de choisir la localisation de stockage de ses données, ni même l’adhésion au RGPD https://zoom.us/fr-fr/gdpr.html) ne permet à Zoom de s’affranchir du Cloud Act.

 Cette loi, rappelons le, permet à l’administration américaine (enfin à ses services, heu disons spécialisés) de solliciter l’accès aux données d’une entreprise américaine, sans recourir à des décisions de justices US ou d’autres pays, et sans prévenir les clients finaux de ces données. Cette loi d’extraterritorialité s’applique bien évidemment aux données hors territoires des US, la localisation d’un DataCenter en Europe impose juste à la filiale UE de tenir un registre des traitements, qui devrait à priori intégrer que son contrôle d’accès permet aussi aux techniciens de sa maison mère basée aux US d’accéder aux données du datacenter hors US.
 
Cette situation ci prévaut bien évidemment pour toutes les autres sociétés américaines d’offres de visoconférence : Microsoft/Teams, Cisco/Webex, LogMeIn/GotoMeeting, BlueJeans, LifeSize, 247Meeting, PGI/GlobalMeet Collaboration, HighFive, …


En vous rappelant le célèbre adage : “Quand c’est gratuit, c’est vous le produit”
 
Il reste quoi alors hors-US ? Moins d’offres certes, mais il en existe tout de même : du gratuit comme WhereBy (mais limité à 5), Unify ou encore Tixeo pour du sécurisé (certification ANSSI).

Le 14/04/2020 à 11h 03

Signal a également indiquée le 8 avril dernier que l’application serait retirée du marché US en cas d’adoption du projet de loi EARN IT en l’état, c’est à dire sans permettre de garantir le chiffrement de bout en bout

Voir le billet sur le blog de Signal :https://signal.org/blog/earn-it/
“(…) but it would not be possible for a small nonprofit like Signal to continue to operate within the United States”
 

Le 03/04/2020 à 20h 49

Dommage de na pas avoir parlé des offres sécurisées possibles pour un usage professionnel (ou usage confidentiel) comme par exemple la solution de TIXEO labellisée ANSSI depuis 3 ans