Le 07/02/2023 à 16h 14

(quote:2118828:skankhunt42 )
Hier j’ai entendu vite fait à la télévision que ça aurais un rapport avec la banque. Donc je suppose qu’il faudra créer un compte sur le site puis effectuer un paiement pour vérifier ton age.

Donc le site connaît ton identité et la banque sait que tu vas sur ce site. Vie privée/20.

D’autres ont déjà souligné les faiblesses de ta proposition, j’ajoute ça : Pourquoi inutilement exposer la date de naissance quand on pourrait se contenter de fournir au site l’information “est majeur” ? RGPD, minimisation des données, tout ça.

Il n’y a pas d’anonymat sur internet, seulement du pseudonymat.

Le 07/02/2023 à 10h 13

swiper a dit:

Mais les sites illégaux, même en les cherchant c’est quand même difficile d’accès.

Dès la première page de recherches d’un mot clé tu as après les sites mainstream des sites pirates qui proposent en libre accès le contenu payant des sites mainstream. En laissant de côté les sites avec du contenu extrême car je ne sais pas à quel point ils sont si “difficiles d’accès”, ça te laisse déjà tout plein de porno hors sites mainstream.
On peut envisager de les déréférencer + blocage DNS (inutile), ça n’empêchera pas les ados de se partager les liens sur différents chats voire par fichier texte sur clé USB à la récré. Ou plus simplement d’aller sur un moteur de recherche qui n’a pas fait l’objet de la demande de déréférencement (et s’il existe ou existera un moteur de recherche spécialisé dans le porno c’est jackpot).

Ce genre de contrôle à l’ère de l’informatique et du web est infaisable à moins d’avoir des mouchards plein ses appareils qui analysent le contenu des échanges avec les sites web, les messages envoyés aux autres via chat, etc, et avec soit plein de faux positifs (car le contrôle est trop “agressif” soit plein de faux négatifs (car le contrôle est trop permissif et donc facilement contournable). Ce qui est totalement disproportionné aussi bien sur le plan des libertés que sur l’utilisabilité même des appareils et applications.

Le 07/02/2023 à 09h 52

fred42 a dit:

Quant à la justice, on verra bien, mais déjà la loi actuelle viole le Droit à l’Onanisme Habile (DOH) des adultes.

Et je ne compte pas trop sur la justice ou la loi (constitution, convention européenne des droits de l’Homme…) pour invalider quoi que ce soit : Pour rappel la France est condamnée au niveau européen (parmi d’autres pays) pour rétention disproportionnée des logs de connexion (arrêt Tele2) depuis 2017 et rien ne bouge.

sebsauvage a dit:

Blocage DNS que les ados savent déjà contourner depuis quelques années (puisque le DPI est beaucoup trop couteux pour les FAI.)

Ca une réalité pratique le DPI avec l’avènement du HTTPS ?

Le 07/02/2023 à 09h 23

A quel prix pour la vie privée ?

Le 07/02/2023 à 09h 17

OB a dit:

Je me demande comment vont réagir les sites, et surtout les plus grands. A mon avis (mais on verra bien) ils ne vont imposer ça QUE pour les IP des 4 gros opérateurs Français. Du coup le contournement sera très simple, à la portée d’un enfant de 11 ans un peu débrouillard.

Ca ne serait pas plutôt les IP localisées en France quel que soit l’opérateur ? C’est comme ça que ça se passe pour PornHub et compagnie en Louisiane il semblerait.

Bien entendu, l’utilisation d’un VPN en faisant transiter son adresse IP par une zone géographique que la Louisiane fait disparaître la page de vérification de MindGeek.

Source : https://www.numerama.com/politique/1227024-la-louisiane-donne-un-apercu-du-controle-de-lage-en-france-pour-les-sites-porno.html

A noter au passage Numerama qui croit qu’il faut absolument payer pour avoir un VPN… Si nos élus ont le même raisonnement ils doivent penser leur système dissuasif voire infaillible.

Egalement je pense ne pas trop m’avancer en disant que l’utilisateur moyen préfère qu’une boîte de VPN soit au courant de son intérêt pour le porno plutôt que le gouvernement, c’est dire la confiance en ce dernier (en même temps quand tu vois comment ils ont foiré la v1 de l’appli de scan de pass sanitaire côté vie privée, c’est compréhensible).

Le 07/02/2023 à 09h 00

Certains avancent d’ailleurs l’argument que ça risque de faire empirer la situation en poussant les mineurs vers des sites moins mainstream et donc potentiellement avec du contenu douteux car ils passent sous les radars et se fichent de la loi.

Le 07/02/2023 à 08h 03

Le fameux smartphone que tout le monde a.

Comment l’appli va-t-elle magiquement savoir qu’elle fournit le code à un majeur ? Biométrie ? Encore une fonctionnalité que tout le monde a.

Si ça fonctionne un peu comme un TOTP à voir où est stockée la seed, car si elle est dans l’appli (pour éviter d’appeller un serveur à chaque fois, sinon on peut éventuellement croiser avec l’heure à laquelle le site reçoit le code et remonter à l’utilisateur) peut être extraite on va vite voir sortir une appli ou un site générant des codes valides à gogo.

Le 03/02/2023 à 14h 16

65% des personnes interrogées déclare accepter régulièrement ou systématiquement les cookies, ne tirant pas tellement profit de la systématisation de la demande de consentement à la collecte des données imposées par le RGPD.

En même temps de nombreux sites ont des demandes de consentement illégales qui forcent la main de l’utilisateur. Le RGPD continuera d’être une farce tant que la CNIL continuera de ne faire peur à personne.

Le 02/02/2023 à 22h 24

“Les banques, vecteurs de sensibilisation à la cybersécurité”

Lol. Ma banque doit pas être au courant.
Avec le site qui n’a pas A+ sur https://observatory.mozilla.org et le banquier qui a des post-it avec mdp collés à l’écran qu’il tourne vers moi (écran sur lequel je constate que son outil de gestion via navigateur web n’est pas en HTTPS)…
L’éternel clavier virtuel aussi, qui favorise le shoulder surfing.

Le 24/01/2023 à 16h 06

Merci pour le retour ! Pas étonnant malheureusement, même des devs “pros” font des absurdités, et beaucoup ne maintiennent pas leurs connaissances à jour alors que l’état de l’art évolue vite (encore plus dans le web et la sécurité).

Le 23/01/2023 à 10h 20

vince120 a dit:

• les sites qui imposent LEUR 2fa (la mode chez les banques) en te forçant au nom de la sécurité à installer leur appli et lui donner tous les droits qu’elle demande pour avoir le droit de consulter tes comptes ou faire un paiement… pourquoi ne pas gérer les yubikey ou des tokens à l’ancienne (que ces mêmes banques distribuent sans pb aux clients pro) ?

Pour les banques il y a une législation (européenne je crois) qui les oblige à avoir une 2FA contextuelle au moins pour les paiements en ligne (et encore il y a des sites où j’ai ma CB enregistrée et aucune 2FA pour les achats ultérieurs, c’est le foutoir ce milieu…).
Donc il faut que le code (ou l’appareil te demandant une action en guise de 2FA) soit accompagné du montant de la transaction que la 2FA est sur le point d’autoriser. C’est pour éviter notamment un éventuel piratage ou ingénierie sociale où tu crois entrer un code pour autoriser un paiement de 100€ mais en même temps un autre paiement lui de 1000€ a été initié et c’est en réalité celui-ci que tu autorises à ton insu.
Donc pas de yubikey, pas d’appli 2FA TOTP “générique”, mais un SMS avec le code + “pour la transaction de x€ avec l’entreprise Bidule” ou appli dédiée de la banque. Ou éventuellement un appareil dédié fourni par la banque qui afficherait la transaction à autoriser, mais ça coûte sans doute plus cher qu’une appli mobile, d’où le fait que les banques se concentrent sur cette dernière.

• une agence de voyage (j’ai plus le nom, faut que je lui demande s’il s’en souvient) qui avait affiché à mon père le message suivant à l’inscription “ce mot de passe est déjà utilisé par un autre compte, voulez vous retrouver votre identifiant ?”

Ca existe vraiment ça ?! xD
C’est un running gag dans le milieu de la tech et de la sécurité informatique mais on se dit que c’est une caricature qui ne pourrait jamais arriver…

Le 22/01/2023 à 18h 55

Bien sûr, mais le soucis c’est qu’en général les sites daubés font la totale : limite de caractères autour de 12 ET pas de caractères spéciaux. Donc bye bye la phrase de passe.

Mieux vaut se contenter de modifier le paramètre about:config mentionné par le site que j’ai cité : network.IDN_show_punycode. Ca évite de donner tous les droits à deux extensions crées par des inconnus + au code pas vérifié par Mozilla et de se retrouver avec un remède pire que le mal ;)

Techniquement si un site tiers charge du JS sur une page il peut accéder à ce qu’il veut sur ladite page et l’envoyer à qui il veut. Par ex il peut récupérer ce que tu entres dans un formulaire (donc ton login et ton mdp) ou encore les informations affichées sur la page (par ex ton adresse postale si tu es sur la page de livraison).
Il peut aussi récupérer le contenu du local storage ou encore les cookies (s’ils n’ont pas le flag HttpOnly).

En l’espèce https://www.decathlon.fr/ a une content security policy (CSP) qui “limite” à qui les données peuvent être envoyées mais elle a des trous (par ex pas de form-action) et autorise énormément de domaines (j’avais jamais vu ça à ce point, ça donne une idée du nombre de tiers potentiellement chargés/appellés sur ce site…).
Et même sans trous dans sa config une CSP ne couvre pas tout. Par ex on peut leak des données en faisant une redirection JS vers un autre URL (contenant en param les données à leak) qui va lui-même renvoyer l’utilisateur où il était : peu de chance qu’il se doute de quelque chose.

Attention j’ai dis “techniquement”, ça ne veut pas dire qu’ils le font. Mais ils pourraient. En outre évidemment tous les tiers chargés/appellés récupèrent au minimum ton IP et ton user agent, ce qui peut aider à te tracer.

Il est d’ailleurs bon de rappeller que la CNIL a explicitement prononcé reCAPTCHA comme étant contraire au RGPD. Et que de toute façon de base tout tiers de nationalité US (google fonts, recaptcha, stripe, akamai ou autre CDN US, etc) chargé sur une page est contraire au RGPD, cf l’arrêt Schrems 2 de la CJUE.

Pour finir le domaine peut jouer sur les permissions. Par exemple Google a bougé maps de maps.google.com à google.com/maps, ce qui fait que depuis si tu autorises maps à accéder à ta géolocalisation eh bien en réalité tu viens d’autoriser tout service provenant de google.com à le faire, pas que maps
(source)

Le 21/01/2023 à 15h 20

S’authentifier est aussi un hashage lent plutôt que rapide. Sinon tu n’utilises pas la bonne techno.

Côté PIN chez la banque j’ai un argument contre : En cas de fuite de la bdd de la banque, même si le PIN est hashé ça sera vite brute force compte tenu du nombre très faible de possibilités. Donc si un attaquant peut récupérer la bdd d’auth d’une banque il peut ensuite se faire passer pour tous ses utilisateurs.
En pratique c’est surtout ce genre de brute force (hors ligne) qui est à craindre plus qu’un brute force en ligne (notamment car en général il y a des contre mesures comme verrouillage au bout de n essais).

Mais bon pour ma part c’est plutôt la bêtise du clavier virtuel qui me dérange surtout qu’il n’a aucun intérêt. Le code PIN n’est qu’un résultat du clavier virtuel : taper un vrai mdp en cliquant sur un clavier virtuel serait une purge.

De toute façon j’ai l’impression que les banques ont pour logique que la sécurité des comptes clients importe qu’à moitié car même en cas de fraude elles ont des assurances et des dispositifs en place pour annuler les transactions et compagnie.

Y a bien des pays où ta CB a même pas de PIN pour payer et ce quel que soit le montant… Parce qu’ils comptent sur les assurances en cas de problème.

oui oui “cryptées” et pas chiffrées

Non.

(reply:2115928:ʟ·ɪɴᴀᴅᴀᴩᴛé)
Ce n’est pas choquant si tu es obligé de changer le mdp à ton prochain login. Ca le serait s’ils t’envoyaient le mdp que tu as choisi. Surtout s’ils te l’envoient quand tu demandes un reset, car ça signifie qu’ils y ont accès en clair, ce qui ne doit pas être le cas.

Le 21/01/2023 à 12h 08

Au temps pour moi j’aurais mieux fait de tester ! J’étais moi-même passé par un des proxies dont j’ai parlé, et ça semble rester nécessaire sinon tu finis sur https://www.cnil.fr/fr/plaintes qui est clairement inspiré des 12 travaux d’Astérix…

Voici deux proxies : https://dav.li/cnil et https://imirhil.fr/cnil
Tu risques de devoir à nouveau te connecter même si tu l’es déjà, mais ensuite tu devrais bien être redirigé vers le foutu formulaire de plainte.
C’est hallucinant cette volonté d’empêcher l’utilisateur d’accéder au formulaire ! Même en copiant l’URL de ce dernier qui est https://demarche.services.cnil.fr/plaintes/plainte-en-ligne/?parcours= (j’ai viré la valeur de parcours) si tu ne fournis pas le paramètre parcours avec une valeur valide ça te renvoie sur une page d’erreur avec un lien qui te renvoie sur https://www.cnil.fr/fr/plaintes...

dans la théorie, un signalement devrait suffire. Dans la pratique, imagine un peu la quantité faramineuse de boulot que cela engendrerait : il me semble, sur le coté pragmatique, que ça soit plus simple de viser une entreprise pour laquelle de nombreuses plaintes sont remontées.

Ca dépend des signalements. Cf par ex Twitter.
Pour le cas CDiscount il dit que c’est une violation flagrante et énorme (revente de la totalité de la base client à des “partenaires”) et pourtant rien ne bouge depuis des années… Donc il semblerait que la gravité en elle-même ne signifie pas pour autant action de la CNIL.

des demandes (à mon avis déraisonnées) de vérification d’identité *

Oui c’est en général déraisonné et même illégal, cf https://www.cnil.fr/cnil-direct/question/exercice-de-mes-droits-informatique-et-libertes-dois-je-fournir-obligatoirement.
C’est l’occasion d’ajouter ça aux violations dans ta plainte à la CNIL (on ne te permet pas d’exercer tes droits et on te demande des données sans base légale et sans respecter le principe de minimisation)

Le 21/01/2023 à 11h 48

Intéressant, sacré contraste côté retour d’expérience…

Twitter

Twitter

Twitter

Et quand la CNIL te conseille ce genre de chose, bon…
YouTube

Si le RGPD prévoit ce parcours ubuesque alors il est à côté de la plaque côté protection des usagers.

Le 21/01/2023 à 11h 27

Plainte CNIL je dirais. Cette dernière usant de dark patterns pour planquer ses formulaires histoire de dissuader les gens sans doute pour être moins débordée, plusieurs personnes ont créé des proxies (oui on en est là…). Ils finissent par mener ici : https://services.cnil.fr/ (il faut s’inscrire, pas cliquer sur “saisir la CNIL” sinon tu vas te faire balader)

A noter deux choses :

• la CNIL a l’air de ne pas bouger contre une entreprise tant qu’il n’y a pas de nombreuses plaintes à son encontre


• la CNIL a, des témoignages que j’ai vus, tendance à considérer “insuffisantes” les plaintes où tu n’as pas toi-même commencé le boulot, ce qui est honteux, l’individu moyen n’étant pas juriste ni enquêteur… Pour “commencer le boulot” un classique peut être de faire une demande d’accès à l’entreprise (cf par ex ce modèle) puis une plainte quand l’entreprise n’aura pas manqué de ne pas répondre dans les délais ou de répondre à côté de la plaque/en niant les violations que tu lui reproches.

J’ai souvenir d’un formulaire de contact plus général si tu ne veux pas déposer de plainte mais seulement leur signaler une violation qui ne te concerne pas personnellement (me semble que la plainte c’est seulement si ça te touche), mais impossible de le retrouver, évidemment… J’ai eu l’occasion de l’utiliser une fois il y a plusieurs années pour signaler un service qui laissait en libre accès les données de plein de gens et ils m’ont même répondu et dit faire le nécessaire !

Le 21/01/2023 à 10h 56

QTrEIX a dit:

L’autre problème est qu’actuellement, il n’existe aucune solution simple et universelle pour envoyer un mot de passe provisoire autre que par mail que l’utilisateur ne changera pas forcément et c’est pire par SMS.

Tu peux toujours à la première connexion obliger l’utilisateur à changer.
Tu peux même l’empêcher de choisir le provisoire, car tu as son hash en base de données donc tu peux vérifier s’il entre le même.
Tu peux même l’empêcher d’en choisir un qui se rapproche trop du provisoire : Tu lui demandes d’entrer l’actuel (donc le provisoire, comme ça tu l’as en clair) et celui qu’il a choisi, ensuite tu passes les deux dans un algo tel que la distance de Levenshtein et si c’est trop similaire tu rejettes.

La seule limitation c’est si ton utilisateur veut vraiment abuser et choisit un mdp original bien docilement mais passe ensuite par la fonctionnalité de changement ou réinitialisation pour remettre le provisoire. Là faudrait stocker éternellement le hash du provisoire pour contrer (faisable). Mais tu peux pas contrer s’il choisit un similaire au provisoire : Sinon ça signifierait lui demander le provisoire en clair à chaque fois qu’il veut changer de mdp, or s’il est “honnête” il ne l’a plus (il n’a pas tenté de le réutiliser et a supprimé l’email).

Le 21/01/2023 à 10h 50

TheKillerOfComputer a dit:

Catastrophique, je n’ai pas… mais j’ai bien un cas léger à partager : Ubisoft Store/Connect.

J’ai crée un compte en 2011 avec un mot de passe de 20 caractères généré par Keepass.

Un soir de 2013 il ne fonctionnait plus (j’ai laissé une note) et j’ai essayé plusieurs fois sans succès. Avant de réinitialiser et m’étant déjà dit que l’incompétence crasse progressait en informatique, j’ai eu l’idée stupide de tester en retirant les 4 derniers caractères de mon mot de passe…

…et ça a marché.

J’ai donc profité pour le changer et je constate la chose : Ubisoft avait réduit les critères de création. Il faut 8 caractères minimum, mais 16 maximum. Pendant longtemps c’était SANS caractères spéciaux mais il semble qu’ils ont ajouté cet impératif entre 2017 (mon MDP actuel) et aujourd’hui.

Pour autant à ce jour c’est toujours 16 caractères maximum. A priori c’est encore bon mais je ne vois pas ce que ça leur coûterait de mettre 32 max.

Tu es pas le premier sur ce fil à faire part de cette expérience. En tant que développeur web je trouve ça hallucinant de stupidité d’avoir des critères de validation du mdp sur le formulaire de connexion.
Ca ne sert à rien mis à part embrouiller l’utilisateur. Ca devrait être uniquement sur le formulaire d’inscription, celui de modification du mdp et celui de réinitialisation de ce dernier.
Dans la plupart des cas en plus c’est sur des sites codés avec les pieds où lesdits critères ne sont pas centralisés donc chaque formulaire a les siens et un classique c’est le formulaire d’inscription qui n’accepte pas tels critères mais celui de modification/réinitialisation oui, parce que les devs ont oublié de modifier les critères partout… D’où l’intérêt de les centraliser : il n’y a qu’un endroit où il est nécessaire de les modifier et ça assure leur homogénéité sur tout le site.

La limitation du nombre de caractères n’a aucune pertinence au niveau technique à moins que le mdp soit stocké en clair, ou hashé via un algo daubé qui ne gère que très peu de caractères. Dans les deux cas c’est une grave faute de la part du site côté protection des données.
Ah, si, seul autre cas à ma connaissance : 72 caractères max si le mdp est hashé via bcrypt (qui était l’état de l’art jusqu’à il y a peu mais reste efficace), car ce dernier tronque au delà de 72 bytes. D’ailleurs en réalité c’est donc pas forcément 72 caractères mais peut-être moins car certains caractères comme les accentués font plusieurs bytes et pas un. Mais bon va expliquer ça à l’utilisateur, autant lui dire que c’est max 72 caractères et croiser les doigts pour qu’il aille pas au bout ou s’il y va ne se rende pas compte que la fin est peut-être tronquée quand même.

alphacentauris a dit:

C’est pourtant pas sorcier d’utiliser l’équivalent de sanitize : on évite le problème d’injection.

Je n’ai pas saisi, tu fais référence à quoi ? Au mdp ? Il n’y a pas besoin de le sanitize étant donné qu’il est hashé avant de finir en bdd, donc pas d’injection possible.
D’ailleurs sanitize c’est pas super car si tu oublies de le faire une seule fois dans ton code tu es foutu. La bonne pratique depuis de nombreuses années c’est les requêtes préparées. Sanitize est recommandé par OWASP uniquement si toutes les autres méthodes plus sûres ne sont pas possibles.

En ce qui concerne le nombre de caractères, ce n’est pas un problème, si on fait un hash solide de la valeur, car seul le hash sera transmis.

Transmis où ? Au serveur ? 99% des sites hash le mdp uniquement côté serveur donc après “transmission”.
Le hasher côté client puis côté serveur peut-être risqué (exemple), mixer les algos de hash étant mal vu. Sans parler de la problématique de la config de l’algo et de l’éventuel sel qui peuvent être l’une comme l’autre différents selon l’utilisateur et donc permettre à un attaquant de faire une énumération d’utilisateurs si on lui sert des données différentes en fonction de l’email qu’il entre.
Le hasher uniquement côté client permet l’attaque “pass the hash”.

Je crains qu’il va nous falloir encore un certain temps avant d’avoir un nombre de sites qui respectent des règles élémentaires de sécurités, bien que ça s’améliore… lentement.

C’est certain. D’autant que chez beaucoup de sites même à jour côté algo on a tendance à trouver en bdd plein de hashes qui ne sont eux pas à jour : On ne peut pas rehash le mdp de l’utilisateur avec le nouvel algo à l’état de l’art s’il ne se reconnecte pas, et le service marketing risque de s’opposer à un reset global du mdp des utilisateurs (supprimer tous les hashes pas à jour et leur envoyer un email pour les inviter à reset leur mdp) car ça pourrait ternir à tort la réputation du site, les utilisateurs pouvant penser qu’il y a eu un piratage massif et que le site essaie d’étouffer la chose, par exemple.
On a vu le cas récemment avec EDF qui s’est faite allumer par la CNIL car beaucoup de hashes en bdd étaient en MD5 ou SHA1 pas salé et ce alors que EDF avait “modernisé” le stockage du mdp depuis. Bon, modernisé mais toujours pas assez : C’est sacrément la honte en 2022 de se targuer de faire du SHA-256 ou 512 (on ne sait même pas, ils se contredisent) salé depuis 2017-2018 (là aussi ils se contredisent) comme si c’était une innovation alors que ça fait plus de 10 ans que MD5 comme SHA c’est considéré inadapté pour hasher des mdp…

Le 20/01/2023 à 19h 28

Iroise29 a dit:

Firefox (102.7.0esr) m’affiche : “Attention : risque probable de sécurité Firefox a détecté une menace de sécurité potentielle et n’a pas poursuivi vers www.xn–80ak6aa92e.com. Si vous accédez à ce site, des attaquants pourraient dérober des informations comme vos mots de passe, courriels, ou données de carte bancaire.”

Il détecte bien l’adresse cachée.

Pas moi… Testé sur un nouveau profil vanilla (via about:profiles) sur Windows et Linux, version 109.0 :/
Ca te le fait sur un profil vanilla ? Peut-être que tu as activé un paramètre de sécu qui ne l’est pas par défaut.

Le 20/01/2023 à 15h 44

hellmut a dit:

alors c’est sûr je vous vois venir, l’acteur malveillant qui fait du ciblé sur Mme Michu et qui utilise un keylogger qui fait des screenshots, hahaha il va lui poutrer son compte. et là je sors la carte probabilité. la probabilité qu’une telle menace s’applique à Mme Michu qui doit avoir un compte chèque et un livret avec 5000 balles dessus, elle est ridicule. et si Mme Michu a activé le 2FA pour les virements, là on tend vers 0.

le mec qui veut tirer des sous à la mère michu, il a plus vite fait de lui demander directement des sous en lui faisant croire qu’il l’a chopée en train de mater du porn et qu’il va tout balancer à ses copines du club de bridge. en plus il peut aussi envoyer le même mail à tout le club, avec un peu de bol il aura plusieurs virements sans s’adonner à des activités de haxxor.

Tout à fait, donc le clavier virtuel n’apporte rien, est une perte de temps et diminue même la sécurité (shoulder surfing, pas possible d’utiliser un gestionnaire de mdp…).
Si le keylogger est une probabilité quasi nulle ça ne sert à rien de mettre en place un dispositif supposé le contrer. Si les banques le mettent en place c’est qu’elles considèrent que la menace est réelle. En résumé elles sont à côté de la plaque soit sur la menace soit sur la contre-mesure

Le 20/01/2023 à 15h 32

Iroise29 a dit:

Visiblement ce problème a été corrigé car Firefox affiche un avertissement de sécurité

Intéressant… Quel est le message d’erreur ?

Je viens de tenter, avec network.IDN_show_punycode à true comme à false je n’ai aucun message en cliquant sur le lien “proof-of-concept” du premier paragraphe.

_stems a dit:

C’est d’autant plus problématique pour ma part car accéder à l’étape de saisie du mdp signifie que l’adresse mail est connue.

Pas nécessairement, ça peut être un effet uniquement visuel. Sauf si à la fin de la première étape le site dit textuellement que l’adresse entrée est inconnue.

Et oui le mieux est une erreur générique. Tellement mieux que ne pas le faire est une violation du RGPD.

Si c’est uniquement visuel l’extension peut remplir si les champs sont déjà dans le code HTML de la page. D’expérience c’est le cas sur la page de login de Google (ou ça l’a été, je ne sais plus).

Côté raison de sécurité, bof… Un bot va directement envoyer des requêtes au serveur, il se fiche de l’aspect visuel de la page. Ca peut être un moyen d’alourdir un peu le processus par exemple si en échange de l’email le site renvoie une clé unique qui doit être envoyée avec le mdp, mais ça fait juste deux requêtes au lieu d’une. Il y a d’autres moyens bien plus efficaces d’embêter un bot et ce sans bousiller la compatibilité du site aux gestionnaires de mdp (ce qui a pour effet de réduire la sécurité).
Je suis tombé là-dessus en faisant une rapide recherche, pas vu de bonne raison avancée : https://old.reddit.com/r/webdev/comments/bv8ti3/twostep_login_forms_why/

Le 20/01/2023 à 14h 42

(quote:2115744:War Machine)
J’en fais partie. Ne pas avoir fait confiance à un gestionnaire de mot de passe, ca évite les soucis comme avec Keypass actuellement. Et certainement d’autres demain.

Soit je peux retenir mon mot de passe ou du moins sa “construction” + sa “modification” pour le rendre unique, soit je ne me prends pas la tête, et je me contente de le redemander au besoin. A l’heure où les mails sont quasi instantanés, ca demande moins d’effort que de devoir chercher son mot de passe et le déchiffrer (jamais écrit en clair,mais d’une façon dont je sais le déchiffrer, et … sur une partition chiffrée)

LastPass et pas Keypass je suppose.

Si tu peux retenir la construction de ton mdp c’est qu’il a un pattern. Si plusieurs de tes mdp ont le même pattern et que disons deux d’entre eux fuitent (car les sites les gèrent n’importe comment), les outils des pirates sont tout à fait capables d’identifier lesdits patterns.

Se reposer sur le reset de mdp c’est pratique sauf pour le mdp de la boîte mail…

Le coup de stocker les mdp dans un fichier en clair dans une partition chiffrée c’est bien jusqu’à ce que tu ais un logiciel un peu trop curieux ou que ça finisse en clair dans un fichier de cache/temporaire non chiffré parce que l’OS aime bien laisser des traces partout.

Avoir un “chiffrement” des mdp stockés qu’on doit “déchiffrer” dans notre tête c’est pas simple, ça prend du temps, et si c’est mal fait c’est une comédie sécuritaire. Ca ressemble beaucoup à bricoler un algo de chiffrement perso, or en sécurité il y a l’adage “Don’t roll your own crypto” parce que en général les algos persos sont bourrés de failles.

Tout ça prend bien plus de temps qu’avoir un gestionnaire de mdp. Et si tu as peur d’un autre LastPass, ce qui est tout à fait légitime, tu peux utiliser un gestionnaire local comme Keepass et lui interdire toute communication avec l’extérieur via ton pare-feu. Comme ça même si demain le code de Keepass est compromis il ne pourra pas fuiter tes données vers l’extérieur.

Bonus du gestionnaire de mdp : S’il a une extension de navigateur (mais là c’est plus dur pour lui interdire de communiquer avec l’extérieur à moins que le navigateur le permette) tu es immunisé contre les sites d’hammeçonnage (il ne se fera jamais duper par un URL même si il est visuellement identique à celui du site légitime (oui c’est possible, surtout sur Firefox). Et l’extension sera sans doute capable de passer outre les blocages de copier/coller (en plus de ne pas laisser ton mdp dans le presse-papier, où il pourrait être récupéré par d’autres applications voire sites).

(quote:2115738:Z-os)
Et cela chaque quoi un clavier “classique” avec ce type de bot ?

“change” et pas “chaque” je suppose.
Ca ne change rien, tout comme un clavier virtuel. L’intérêt du clavier virtuel est nul, encore plus comparé à ce qu’il engendre : secret très court (sinon ça serait une horreur à “taper”) et comme d’autres l’ont dit trouver et cliquer sur les bonnes touches prend du temps, temps pendant lequel quelqu’un derrière toi à tout le loisir de regarder et noter ton secret.

Daweb a dit:

Au hazard aussi les sites / services qui imposent de changer de code régulièrement (voir très régulièrement). Du coup quand on utilise un moyen mnemothénique pour génrer un mot de passe sur mesure pour chaque service, ca ne marche plus (sauf à incrementer quelque part un chiffre, mais on ne se souvient plus où on est est)….

Et résultat dans les entreprises qui imposent cela, on voit les codes sur des post it sous le clavier (voir carrement en bas de l’écran)…

C’est exactement pour cette raison que les autorités recommandent désormais de ne pas imposer de changement régulier. Sur le papier le changement régulier des secrets c’est une bonne pratique de sécurité, mais la réalité a montré que pour le cas de l’utilisateur moyen et des mdp c’était contre productif pour les raisons que tu as listées (j’ajouterais “réutiliser le même mdp partout et incrémenter d’un chiffre à chaque changement imposé”).

Le changement régulier des secrets c’est bien quand c’est automatisé (cf par ex les certificats TLS). Côté mdp il faudrait qu’existe un standard que les sites suivent (pas gagné) pour qu’un gestionnaire puisse mettre à jour auto le mdp et ce toujours de la même manière.
Sinon ça oblige les devs du gestionnaire à créer du code dédié pour chaque site web, ce qui est une charge de travail infinie. Donc en pratique soit le gestionnaire gère pas du tout le changement auto soit c’est géré que pour certains gros sites très utilisés.

Le 20/01/2023 à 12h 24

TexMex a dit:

Les banques sont pas trop mauvaises dans le sens ou ils se prémunissent des attaques automatisées (clavier de chiffre mélangés), mais c’est plus inquiétant quand les interfaces d’une banque ou d’une autre est quasi la même à l’exception du logo et des couleurs…

Ca ne prémunit pas des bots. Au mieux ça oblige l’attaquant à adapter son bot pour qu’il soit capable de reconnaître le clavier. Et si plusieurs banques utilisent la même techno pour le clavier virtuel alors le bot risque de marcher sur toutes ces banques.

Le 20/01/2023 à 10h 58

(quote:2115700:::1)
pour en avoir testé plusieurs dans les années 2000, jpeux te jurer que j’en ai trouvé aucun qui proposait la capture d’écran. Aucun intéret : pourquoi? à l’époque, le clavier virtuel nexistait pas pour les connexions, les virus déruisaient des données sans rien chiffrer, et personne ne parlait de piratagede BDD chez les prestas. L’école ancienne quoi. Quel interet d’une capture d’écran si aucun clavier virtuel n’existe pour taper un code secret?

Ce qui confirme mes soupçons : les banques n’ont pas adapté leur sécurité depuis les années 2000.

Le 20/01/2023 à 10h 55

Tandhruil a dit:

Ben c’est juste un pb d’utilisateur.

Ca commence à faire un moment qu’on a compris que compter sur l’utilisateur en terme de mdp c’était pas la bonne approche. C’est notamment pour ça qu’on a mis en place la 2FA et qu’imposer le renouvellement périodique est désormais déconseillé.

Le NIST va même plus loin en recommandant de laisser l’utilisateur tranquille le plus possible (pas de jeux de caractères imposés) et de faire principalement deux choses :

• imposer une longueur minimum


• vérifier que le mdp est pas sur HIBP ou autre base de données de ce genre

A titre perso c’est une suite de chiffre issue d’un ancien numéro de téléphone.

OSINT/20

Le 20/01/2023 à 10h 45

Tandhruil a dit:

Je ne comprends pas votre obsession sur les codes PIN des banques, ils fonctionnent bien, la double authentification est active en cas de connexion à une nouvelle machine.

Pas chez ma banque, un code par SMS une fois tous les 6 mois c’est pas de la 2FA…

Après tout, il faut démonter complètement un Iphone avec du matériel de pointe pour récupérer des données verrouillées par un simple code à 6 chiffres sans double authentification.

Idem pour le PIN de carte bancaire puisque celle ci est inutilisable après 4 tentatives infructueuses.

En supposant que ce n’est pas la date de naissance de l’utilisateur ou autre donnée récupérable via OSINT, cf le message de fred42.

Le 20/01/2023 à 10h 35

eglyn a dit:

Je ne comprends pas que la CNIL ne se penchent pas sur ce sujet…

Ca va peut-être venir. Dans sa précédente reco en matière de mdp il y avait une ligne de tableau dédiée au code PIN précisant que c’était OK s’il y avait blocage du compte après un certain nombre de tentatives.

Elle n’est plus là : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

Mais bon, les banques ont toujours 10+ ans de retard côté sécurité par rapport aux bonnes pratiques. Depuis quelques années ça a découvert l’authentification “forte” et pour ma banque ça signifie m’envoyer un code par SMS une fois tous les 6 mois quand je tente de me connecter. Donc c’est de la 2FA qui ne s’active qu’une fois tous les 6 mois… Fascinant ce niveau de compétence.

hellmut a dit:

j’aurais bien parlé de Free mais il semble qu’ils aient enfin décidé de ne plus envoyer le mot de passe des abonnés en clair. ^^

Ils se sont fait allumer par la CNIL sur ce point, ça les a motivés !

Le 20/01/2023 à 10h 22

gathor a dit:

Pour le code PIN utilisé par les banques, Jean a donné des explications ici ;)

Je trouve l’argument “le code PIN c’est pour les utilisateurs sur téléphone” des banques hallucinant en 2023 : On fragilise lourdement la sécurité de tout le monde uniquement pour un infime nombre d’utilisateurs.
Il serait bien plus sûr que le code PIN soit un secret de connexion désactivé par défaut et activable par les utilisateurs qui en font la demande.

Et ne me lancez pas sur les claviers virtuels pour soi-disant contrer les keyloggers (ça existe des keyloggers incapables de prendre une capture d’écran à chaque clic avec sur la capture la position de la souris ?) mais faciliter le shoulder surfing (bien plus présent que les keyloggers) et rendre impossible l’utilisation d’un gestionnaire.

Le 20/01/2023 à 10h 07

Il y a une compilation sur https://plaintextoffenders.com si vous voulez fouiller à la recherche de sites FR. Par ex https://plaintextoffenders.com/post/651079783942373376/professeurparticuliercom-education.

letter a dit:

Tout site qui me renvoie mon mot de passe dans le mail de confirmation m’inquiète gravement. Orange en faisait encore partie il y a peu.

C’est pas forcément synonyme qu’ils le stockent en clair en bdd. (mais il est possible qu’il traîne sur un serveur mail chez eux…)
Par contre la CNIL considère que c’est illégal si le mdp n’est pas temporaire (cf sa décision Carrefour de mémoire) : Son raisonnement est que ce n’est pas forcément l’utilisateur légitime qui va accéder à l’email, que ça permet donc éventuellement à un tiers d’en prendre connaissance, d’accéder au compte associé et aux données à caractère personnel qu’il contient (donc violation du RGPD).

Par extension j’en déduis que les liens envoyés par email style réinitialisation de mdp qui n’expirent jamais et peuvent être réutilisés sont illégaux pour la même raison.

Le 22/01/2023 à 19h 25

Etant donné que ça parle de tracking et d’applis mobiles, n’hésitez pas à aller tester vos applis sur https://reports.exodus-privacy.eu.org/fr/.
Par contre c’est que pour les applis Android, on peut dire merci à Apple et à sa transparence côté code.

Le 03/01/2023 à 09h 30

Valeryan_24 a dit:

L’application Orange Telephone, efficacité redoutable et simple d’utilisation :

Google

Elle est aussi bourrée de traceurs.

https://reports.exodus-privacy.eu.org/en/reports/com.orange.labs.dialler/latest/

Le 23/12/2022 à 16h 23

Eh oui. Quand tu vois que même des entreprises avec pignon sur rue ont pu se faire pirater et déployer à leur insu du code malveillant dans leurs propres applications…

Côté extensions de navigateur tu peux également très bien avoir un dev d’extension qui se fait pirater le compte où il stocke le code ou celui où il met en ligne l’extension.
Tu peux aussi avoir un dev auquel on propose de “racheter” son extension pour bénéficier de sa réputation et de ses utilisateurs, et ainsi pouvoir déployer ce qu’on veut à la place. Un peu comme il y a des comptes sur les réseaux sociaux qui se font racheter et se mettent à publier de la pub ou des contenus sponso.

Sur Firefox a priori tu peux faire confiance aux extensions recommanées (celles avec la coupe) car des devs de Mozilla sont censés revoir le code avant tout déploiement. Je ne crois pas que ce dispositif existe sur les autres navigateurs.

Le 22/12/2022 à 10h 25

marba a dit:

Ça n’est pas clair de quoi on parle.

Est ce que c’est la boîte email qui est chiffrée ? Est-ce que l’envoi/réception d’email est chiffré (j’en doute) ?

Je suppose que c’est comme ProtonMail : Chiffrement asymétrique, l’utilisateur est le seul à avoir accès à la clé de déchiffrement (clé privée), mais la clé de chiffrement (clé publique) elle est accessible aussi au serveur.
Ce qui signifie que si tu reçois un email d’un tiers qui te l’envoie en clair plutôt qu’en le chiffrant via ta clé privée, c’est le serveur qui le chiffre avant de le stocker (et donc peut éventuellement faire ce qu’il veut du clair avant, comme le copier, le modifier, etc). Idem si tu envoies un email à un tiers qui ne supporte pas ce chiffrement, l’email est alors envoyé en clair au serveur pour qu’il puisse l’envoyer en clair au destinataire. Mais ta copie sera ensuite stockée en E2E sur ton propre compte.

En somme c’est véritablement E2E uniquement en communiquant avec des tiers supportant le même chiffrement/protocole que Gmail/ProtonMail. Dans le cas de ProtonMail par exemple il me semble que ça ne fait pas si longtemps qu’ils permettent d’utiliser du “vrai” PGP et donc de pouvoir communiquer E2E même si ton destinataire utilise pas lui aussi ProtonMail.
Je ne sais pas si Gmail a les mêmes limitations.

Le 17/12/2022 à 17h 52

SebGF a dit:

Ca oui, les messages de personnes qui ont supprimé leur compte apparaissent en “anonyme_xxxxxx”.

Mais le contenu du message est toujours là ? Il est également une DCP.
En outre quid si le message a été tout ou en partie cité par d’autres utilisateurs ? Et si d’autres utilisateurs ont cité le pseudo de l’utilisateur via les fonctionnalités “Répondre” ou “Citer” ?

Le 06/12/2022 à 13h 43

Ce genre de dérive dystopique rappelle à quel point il est nécessaire d’avoir des législations en la matière et qu’elles soient appliquées.

Le 02/12/2022 à 18h 30

Le sel n’a pas vocation à être secret, donc il n’ajouterait aucune complexité. Son job est d’éviter les rainbow tables. D’ailleurs les algos à l’état de l’art (bcrypt, argon2id…) ont tendance à gérer le sel automatiquement, donc il est déjà présent.

Le poivre ça pourrait aider par contre en effet, vu qu’il est secret. En supposant qu’il fuiterait pas avec le reste en cas d’éventuel piratage évidemment.

Le 02/12/2022 à 11h 25

Petit rappel sur SHA inadapté au hachage de mdp (pas eu le temps de mettre le lien avant de ne plus pouvoir éditer mon précédent message): https://www.troyhunt.com/our-password-hashing-has-no-clothes/

Bonnes pratiques : https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

Le 02/12/2022 à 11h 17

SHA-512 complété d’un mécanisme d’ajout d’aléa (salage) depuis le 17 mai 2017

Ca reste de la daube, SHA n’est pas fait pour hacher des mots de passe. Donc sanction justifiée, faudrait songer à faire de la veille technique sur ce sujet chez EDF.

iFrancois a dit:

Ca permet déjà de plus conserver du MD5 tel quel, c’est déjà un énorme pasen avant.

Ca raconte quoi niveau entropie par rapport à du Bcrypt direct ? J’arrive pas à me rendre compte.

Niveau entropie c’est moins top qu’un mdp directement haché par un algo à l’état de l’art si l’attaquant est au courant que derrière il y a un hash MD5 : Ca lui permet de diminuer drastiquement le scope de possibilités (forcément 32 caractères, que des minuscules et des chiffres). Pour le “montant” précis d’entropie je ne sais pas. Mais comme dit par d’autres (dont toi) ça reste forcément mieux que juste le hash MD5 au vu des vulnérabilités de ce dernier.

Par contre ça a tendance à être vu comme un plan foireux de mixer des algos de hachage à moins d’exactement savoir ce que tu fais car ça peut avoir des effets de bord. Par exemple avec bcrypt il y a cette possibilité : https://blog.ircmaxell.com/2015/03/security-issue-combining-bcrypt-with.html#The-Major-Problem

En résumé pas sûr que faire ce mixage soit suffisant aux yeux de la CNIL ou judicieux. Comme d’autres l’ont dit mieux vaut supprimer le hash et envoyer un email ou courrier à l’utilisateur pour qu’il réinitialise et qu’on puisse avoir un hash à l’état de l’art.

Le 24/11/2022 à 10h 33

Cocasse, quand on voit la réputation des banques dans le milieu de la sécurité informatique. Ou la tronche de leurs sites web (support TLS daubé, clavier virtuel, code PIN plutôt que mot de passe, fuite du cookie de session vers des tiers via alias CNAME, 2FA demandée qu’une fois tous les 6 mois, note déplorable sur https://observatory.mozilla.org…)

Le 24/11/2022 à 10h 26

88 % des directeurs d’agence interrogés sont d’accord ou tout à fait d’accord avec le fait que la preuve numérique « augmente considérablement la possibilité de résoudre les affaires », 81 % que la probabilité de clore une affaire augmente « lorsque la preuve numérique est disponible », 74 % que les procureurs se sentent plus en confiance dans les affaires où des preuves numériques sont disponibles, 72 % que la preuve numérique « raccourcit le cycle d’enquête ».

Avoir accès à plus de preuves est bon pour l’enquête. Quelle surprise.

Le 22/11/2022 à 13h 51

Je trouve ça au contraire très concluant.

Meta pourrait mettre ça à disposition des complotistes et autres x-sceptiques qui pululent sur Facebook pour qu’ils puissent “sourcer” leurs bêtises encore plus facilement.
Vu les réponses de cette IA si ça se trouve elle puise déjà dans les échanges Facebook de ce genre, donc ça complèterait le cercle consanguin de ces gens qui se citent entre eux en guise de “sources”.

Le 17/11/2022 à 16h 11

Napoleonsieur a dit:

Attention, on peut faire toutes les déductions qu’on veut mais celui qui dit le droit c’est le juge. A suivre.

Les décisions sont toujours les mêmes en substance : Des données à caractère personnel (DCP) sont manipulées par une entreprise US ? C’est donc contraire au RGPD. La jurisprudence à ce sujet est constante (logique, elle s’aligne sur la position de la CJUE dans Schrems 2).

Partant de là continuer à fournir des DCP à des services US c’est gagner du temps en attendant une énième décision allant dans le même sens. Mais ça marche, globablement, compte tenu de la dépendance aux US et de la globale inaction des APD que j’ai exposées précédemment.

Le 17/11/2022 à 14h 49

Napoleonsieur a dit:

Nommons les choses : la puissance étrangère ici ce sont les USA. Et bien si on veut absolument éviter les USA, on n’utilise pas une technologie basée sur un logiciel américain, comme Google, même si il y a une surcouche avec Thalès.

En a-t-on les moyens ? A-t-on des alternatives UE qui tiennent le coup et peuvent répondre aujourd’hui au besoin sans avoir les années d’expérience et accès aux mêmes quantités de données qu’un GAFAM ?

Des entreprises US ont pignon sur rue en France et leurs technologies sont utilisées tous les jours et sans se cacher. La CNIL laisserait des infractions au RGPD aussi béantes sans réagir ?

Oui et non. Il y en a des décisions, par ex l’interdiction de Google Analytics, qui se fonde sur Schrems 2 et dont on pourrait donc déduire l’interdiction de toute entreprise US traitant des données personnelles de Français.

Cela dit l’inaction de la CNIL ne serait pas non plus une garantie de conformité. Il y a de nombreux témoignages du mauvais déroulement/suivi de plaintes signalant pourtant des infractions flagrantes (va voir du côté de Aeris22 ou encore de David Libeau), de décisions en violation du RGPD (va voir du côté de LQDN), etc.

Le parlement européen a en 2021 déploré que les APD soient si inefficaces : https://pixellibre.net/2021/03/rgpd-constat-amer-parlement-europeen/

Parlement européen qui d’ailleurs s’est lui-même fait allumer : https://gdprhub.eu/index.php?title=EDPS_-_2020-1013 (confirme que Google Analytics est contraire au RGPD, ajoute Stripe à la liste)

L’arrêt Schrems 2 reste quasi inappliqué alors qu’il est sorti en 2020 et est pourtant très clair. La raison principale étant à mon avis que d’un côté il y a le droit, les grands principes, protéger les individus (en UE on aime bien ça, et c’est tant mieux) et de l’autre il y a la réalité technique et économique. A ton avis qu’est-ce qui est priorisé ?

Encore hier ici même on apprenait que l’éducation nationale vient de découvrir que Google et Microsoft sont US et que leur confier les données des élèves c’est pas conforme au RGPD : Next INpactMalgré tout, réalité technique oblige, dérogation permettant aux établissement déjà dépendants (tous…?) de continuer à utiliser les solutions de Microsoft et Google “pour une durée limitée à 12 mois après la date à laquelle une offre de cloud acceptable sera disponible en France”.
“sera”, futur : Faut-il en déduire que la réalité technique est qu’actuellement aucune offre acceptable n’est disponible en France, donc ici encore dépendance aux US ?
(source de la citation : https://acteurspublics.fr/upload/media/default/0001/36/acf32455f9b92bab52878ee1c8d83882684df1cc.pdf)

Appliquer véritablement le RGPD serait un raz de marée qui mettrait un sacré bazarre économiquement, voire peut-être même dont on ne se relèverait pas. Au mieux on peut le faire petit à petit, mollement, sur de nombreuses années.

Le 17/11/2022 à 13h 58

Napoleonsieur a dit:

Je ne vois toujours pas l’intéret de cette offre : si je veux une technologie Google, autant aller directement chez Google. Rajouter un acteur supplémentaire dans la boucle, cela ne peut que complexifier et rajouter des problèmes que l’on aurait pas ailleurs.

L’intérêt c’est d’éviter (ou tout du moins tenter de) l’ingérence d’une puissance étrangère dans des SI nationaux, surtout s’ils sont d’importance vitale. Ingérence qui peut prendre diverses formes dont l’espionnage ou le sabotage.

D’ailleurs côté espionnage l’intérêt est également d’être conforme au RGPD, ce qui est impossible pour une entreprise US traitant des données à caractère personnel d’individus présents sur le territoire de l’UE (car les lois US en matière de renseignement sont trop open bar et n’apportent pas suffisamment de garanties côté protection des libertés individuelles).
Dit plus simplement, une entreprise US ne peut pas être conforme au RGPD, à cause du droit US (arrêt Schrems 2 de la CCJUE).

Mais bon, oui, globalement ça sent la grosse usine à gaz car on a pris un sacré retard numériquement par rapport aux US donc on a du mal à faire sans leurs technos. On peut remercier entre autres nos entreprises télécom qui ont à l’époque fait du lobbyisme pour que l’Etat mise tout sur le minitel et rien sur internet, avec le succès qu’on connaît.

Le 16/11/2022 à 11h 27

La bonne question serait plutôt : “Twitter, qui est une entreprise américaine, peut-elle respecter le RGPD ?”, et la réponse serait : “Non, arrêt Schrems 2 de la CJUE.”

Le 09/11/2022 à 09h 23

Idem pour le RGPD, notamment son article 7.4.

Le 09/11/2022 à 08h 57

Cela dit, quelles protections apportent les CGU contre un tel espionnage ?
Ou au contraire, est-ce que tu veux dire que cet espionnage est dès lors légal si mentionné dans les CGU et qu’on l’accepte ?

Le 03/11/2022 à 11h 13

(quote:2102302:127.0.0.1)
Dans un cas c’est le peuple qui décide celui/ceux qui gouvernent le pays. Dans l’autre c’est une classe de privilégié qui décide.

Et quand les médias sont aux mains d’une classe de privilégiés et influencent massivement les élections, c’est quoi comme régime ?

Le 01/11/2022 à 11h 01

Ces solutions auront évidemment A+ sur https://observatory.mozilla.org/.

Le 25/10/2022 à 10h 27

Leur défense depuis l’article est… Particulière : Ils avancent qu’ils ne sont pas concernés par le RGPD ni la CNIL car ils ne font pas affaire en France et qu’il n’est pas possible de déterminer via une photo qu’un individu est français (sans doute pour se libérer de l’injonction de suppression).

https://www.biometricupdate.com/202210/clearview-denies-jurisdiction-of-french-regulator-in-response-to-e20m-fine

Ils n’ont pas compris (ou font semblant) comment fonctionne le RGPD : c’est à eux de s’assurer lorsqu’ils pompent des données sur le web de recueillir un consentement préalable si elles appartiennent à un résident de l’UE.

J’ai l’impression qu’implicitement ils mettent la CNIL au défit de prouver qu’ils ont bien siphonné des photos de Français.