Le 21/10/2022 à 09h 41

Ils n’ont même pas d’accord avec les réseaux sociaux : D’après Wikipédia ils se sont pris des “cease and desist” de Twitter, Facebook, Google…

Le 20/10/2022 à 10h 34

Les autorités européennes ont des moyens pour s’assurer de l’application de ces sanctions ? L’entreprise est US et ne fait pas d’affaires en UE non ?

Le 03/10/2022 à 10h 27

Bien sûr, mais peu importe, un audit c’est à un instant T. Il faudrait auditer chaque modification, s’assurer que c’est bien le même code qui tourne chez toi, et être capable d’identifier le mouchard (ce qui peut être compliqué, cf par ex https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident). Et idem pour toutes les dépendances du soft.

Pour le reste en effet tout dépend du niveau de paranoïa ou plutôt du modèle de menace de chacun. Je tenais à souligner cette problématique car promettre aux gens “seul X peut faire Y” alors que ce n’est pas une certitude technique du tout ça pourrait les mettre en danger.

Le 03/10/2022 à 07h 39

seul l’utilisateur peut savoir ce qu’elles contiennent, pas les employés de Proton

Par défaut Proton ne peut pas accéder à vos données, certes. Mais vous utilisez leur code, auquel vous faites confiance. Demain il peut très bien être modifié, par exemple pour introduire un mouchard à l’écran de login et récupérer au passage votre mot de passe. C’est la même pour toutes les applis faisant du bout en bout.

C’est une notion que beaucoup de monde semble avoir du mal à intégrer. Attention en informatique aux impératifs comme “seul X peut faire Y”.

Le 03/10/2022 à 08h 31

« Confiez-nous vos données, nous les protègerons »

Venant de la plus grosse entreprise mondiale de collecte et revente de données personnelles, ça me semble parfaitement fiable et honnête !

Pour le coup je me demande sincèrement si refiler tout ça à Google pour lutter contre le doxing est pas plus dommageable que ledit doxing. Cas typique de remède pire que le mal.
On pourrait même considérer que c’est pour Google un moyen de compléter le profil qu’ils ont déjà sur chaque individu, par leur volontariat en plus !

Le 27/09/2022 à 09h 18

Exactement. Une autorité historiquement crée pour limiter le fichage de la population par l’Etat, puis muselée en 2004 justement pour ne pas gêner le fichage fait sous couvert de lutte contre le terrorisme (il me semble, mais possible que ça soit plus large).

Next INpact

Le 27/09/2022 à 07h 26

Si la CNIL régule ça aussi bien que le RGPD tout va bien !

Le 26/09/2022 à 16h 20

En effet.

J’espère que c’est du flan. Sinon outre la problématique vie privée/surveillance généralisée (qui est déjà très grave) il y a un sérieux problème côté sécurité des échanges web dans le monde : si demain les “certifs” (en supposant qu’il s’agit par ici de moyens de déchiffrer les communications) sont récupérés par des pirates…

Le 24/09/2022 à 10h 17

Et ils font comment pour écouter tout ce traffic alors qu’il est chiffré via TLS ?
Ils n’ont que les métadonnées (ce qui est déjà intéressant).

Le 21/09/2022 à 11h 43

Tiens, avec un abonnement Protonmail Plus, les filtres sieve, un domaine perso et le catch all on peut imaginer quelque chose comme ça :

• Donner une adresse unique à chaque service (de préférence aléatoire, il ne faut pas que ça soit devinable facilement sinon un spammer pourrait tenter de faire porter le chapeau à un autre service)


• Ajouter l’adresse à un filtre sieve qui met automatiquement à la poubelle tout email envoyé à un alias pas listé (pour éviter les spammers qui créeraient une adresse bidon)


• Répéter pour chaque service

Avantages :

• Possibilité de se débarasser d’une adresse email qui aurait trop tournée auprès de spammers, suffit de la retirer de la liste dans le filtre


• Permet d’identifier qui a fait tourner ton adresse et de le signaler à la CNIL, de le boycotter, etc

Inconvénients :

• Domaine perso donc on est identifié facilement et c’est facile de faire le lien entre les différents alias, contrairement à par ex utiliser plusieurs adresses en @protonmail.com


• La CNIL glande pas grand chose même si on lui met les preuves sous le nez (cf les threads de @aeris22 sur Twitter, par ex), beaucoup d’impunité

Je suis donc mitigé sur l’intérêt de la chose. Mis à part pour le boycott ça me semble peu utile. D”autant que perso je reçois très peu de spam (et pourtant j’ai plus de 200 entrées dans Bitwarden).

Le 19/09/2022 à 08h 51

Hiérarchie des normes, les traités internationaux sont supérieurs aux lois nationales. La Constitution est particulière cela dit, car en droit national il n’est pas possible qu’un traité lui soit contraire. La parade trouvée est en ce cas de modifier la Constitution pour qu’il n’y ait plus de contradiction. Oui, c’est totalement hypocrite.

Le 14/09/2022 à 09h 42

Ce n’était pas le problème, de plus ils ont depuis corrigé. Mais ça montre leur priorité de l’époque : tracer leurs clients, qui pourtant paient, quitte à mettre en danger la sécurité de leur compte (on parle d’une banque en plus…).

Si, ce sont des services US, ce qui les rend automatiquement contraires au RGPD (Schrems II).

Le 14/09/2022 à 07h 28

Ah Boursorama et leurs bonnes priorités, ça a chauffé il y a deux ans.
https://pixeldetracking.com/fr/boursorama-fuite-connexion

https://observatory.mozilla.org/analyze/clients.boursorama.com
Leur CSP est daubée, mais au moins ils en ont une, contrairement à la plupart des banques (et des autres sites).
On notera également le header HSTS preload alors que le site n’est pas preload… Serait-ce un copier coller de quelqu’un qui n’aurait pas lu la doc ?

Le 13/09/2022 à 16h 54

Tiens, sur le site d’Infogreffe il y a Google Analytics et Google Tag, qui sont tous deux contraires au RGPD.

Va-t-il falloir signaler ça à la CNIL à part et attendre encore 2 ans pour que quelque chose bouge ?

Le 07/09/2022 à 21h 04

wanou a dit:

Juste pour info, c’est une kingston ? J’en ai cramé trois et j’ai totalement black listé cette marque.

Non, une mezmory (de la daube amazon, plus jamais) et une maxell. Je surveille deux corsair qui ont tendance à freeze temporairement l’explorateur de fichiers quand je les branche (comme si le pc avait du mal à les lire).
A côté de ça j’ai des vieilles clés de 1go qui ont presque 20 ans et fonctionnent toujours parfaitement, incompréhensible.

Pas rassurant ton expérience kingston, c’est censé être une bonne marque.

Le 07/09/2022 à 15h 50

S’il pouvait y avoir les mêmes innovations pour que les clés USB crament pas au bout de 5 utilisations…

Le 05/09/2022 à 13h 38

fdorin a dit:

J’ai Slack d’ouvert. Une fenêtre, 3 zones :

• 1 menu à gauche


• la liste des fils de discussion au milieu


• le fil de discussion sélectionné à droite.

Consommation RAM : 300Mo.

Ouaip, Electron. C’est littéralement un navigateur Chromium dédié à une app JS single page. C’est la même avec Spotify, Skype, Discord…
L’intérêt étant d’avoir quasi la même base de code sur le site web que sur l’app desktop et de pas avoir à se prendre la tête à dev pour Windows, Mac et Linux.
Le soucis c’est que forcément si tu embarques tout un navigateur à chaque fois ça bouffe des ressources pour rien, y compris dès le téléchargement de l’app.

L’équivalent (ou l’un d’eux ?) en mobile est React Native.

D’ailleurs, je ne sais pas si ça a été corrigé mais hier Windows Defender spammait de faux positifs dès qu’on avait une app Electron ouverte.

Le 05/09/2022 à 13h 20

Nombre de personnes n’ont pas conscience d’avoir donné cet accord au moment de la signature d’un contrat quelconque.

Mouais, ça sent la case précochée en ce cas, vu le nombre de gens surpris. Ce qui est contraire au RGPD.

D’ailleurs de ce côté en droit français on a un joli passe-droit qui s’asseoit sur le RGPD en autorisant le démarchage postal ou téléphonique sans consentement préalable. Pour le téléphone il suffit que ça ne soit pas un bot de l’autre côté (donc exit le message enregistré d’un candidat).
Pour les emails c’est possible sans consentement préalable si l’utilisateur a déjà acheté un bien ou service similaire à l’entreprise (c’est sans doute casé dans le joker magique de l’intérêt légitime).

Sources :

• https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-postal-et-appel-telephonique


• https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique


• République Française

Le 18/08/2022 à 11h 18

Jarodd a dit:

C’est-à-dire ? Quel autre canal sécurisé propose la CNIL ?

Dépôt sur une plateforme web de stockage de fichiers accessible en HTTPS, avec gestion des droits des utilisateurs et dont les données sont au minimum chiffrées au repos ?
De là tu envois un lien unique au client et ça le mène à une page où il peut upload ses documents.

Je suppose que ce qui dérange la CNIL aussi est que ça force le client à fuiter sa CNI à son hébergeur mail (qui est probablement Google).

C’est une décision intéressante en tout cas, qui montre qu’énormément d’entreprises sont hors des clous mais ne sont pas (encore) inquiétées.
Je pense notamment à toutes ces boîtes qui ont un compte SAV sur un réseau social et t’invitent à leur envoyer des données à caractère personnel par message privé sur ledit réseau social. Le comble étant qu’elles justifient la chose en invoquant le RGPD

Le 08/08/2022 à 10h 56

le RGPD n’exige pas le consentement. Le RGPD exige une base légal et le consentement en est une. Le RGPD précise en outre que pour qu’un consentement soit considéré comme valide, il doit être éclairé, univoque, libre et spécifique.

Dans le cas de Critéo et autres entreprises du genre le consentement est la seule base légale possible. D’ailleurs c’est la pire des bases légales existantes, tu passes par elle justement quand tu n’as pas de bonne raison légitime d’exploiter les données, ce qui est le cas de ce genre d’entreprise qui ne fournit aucun service aux utilisateurs.

Pas besoin. Le droit, ou l’envie, si tu veux, mais ce n’est pas un besoin. Idem pour les bloqueurs

Si si, besoin. Sinon la plupart des concepteurs de navigateurs ne miserait pas autant de marketing sur la vie privée : Ils ont identifié un besoin et y répondent pour que leur produit (le navigateur) se “vende”.

Une publicité non traquée sera seulement moins ciblée.

Je te suggère d’aller discuter avec des propriétaires de sites web, le consensus semble être que seule la pub ciblée est suffisamment lucrative pour que le site puisse en vivre. Donc le business de la pub peu ou pas ciblée…
Et non, ces annonceurs ne veulent pas simplement afficher une pub quitte à ce qu’elle soit non-ciblée, ils contournent activement les techniques mises en place pour empêcher le traçage, car c’est sur la data que leur business est fondé, sur le profilage le plus précis possible des gens, pas sur des pubs random non-ciblées qui génèrent quasi aucun clic justement car non-ciblées et donc pas ou peu pertinentes.

Ces entreprises tentent de contourner les bloqueurs non pas pour leur composante anti-pub, mais avant tout pour leur composante anti-traçage.

Le 08/08/2022 à 10h 05

PS : L’intérêt légitime est une hérésie fourre-tout invoquée n’importe comment par les entreprises, le parlement européen lui-même s’en inquiète. Cette base légale ne peut pas être invoquée par un annonceur pour faire de la pub ciblée, elle ne sert pas ça.

Elle pourrait éventuellement l’être si le service “consommé” par l’utilisateur était directement le fait de recevoir de la pub ciblée, ce qui n’est jamais le cas : la pub ciblée et les annonceurs s’immiscent en arrière plan lors de la fourniture d’autres services (réseau social, site d’actualités, site de cuisine, boutique en ligne…), ce n’est jamais le service principal fourni à un utilisateur (normal, le client de l’annonceur n’est pas l’utilisateur mais l’entreprise qui cherche à cibler l’utilisateur pour lui montrer des pubs).

Le 08/08/2022 à 09h 50

fdorin a dit:

En bref, le RGPD n’a pas tué la publicité ciblée. Elle a tué le tracking en douce sans information à l’utilisateur.

Sans consentement valide de l’utilisateur, grosse nuance, l’information n’est pas du tout suffisante, on est plus en pré 2018 avec les bandeaux “ce site utilise des cookies, en poursuivant votre navigation vous l’acceptez”. Le RGPD exige que le consentement de l’utilisateur soit recueilli, et que ce consentement soit :

• éclairé (donc partager les données avec 150 “partenaires” qui peuvent en faire ce qu’ils veulent y compris les refiler à d’autres “partenaires”, le tout dilluant la responsabilité de chacun dans un éternel “c’est pas moi c’est l’autre”, c’est illégal)


• univoque (issu d’un acte positif, donc déduire le consentement de la poursuite de la navigation, même si l’utilisateur est informé, c’est illégal)


• libre (donc les dark patterns présents sur 95% des pop-ups et autres “accepte les cookies ou abonne-toi”, c’est illégal)


• spécifique (donc un bouton “tout accepter” qui résulte en un partage de données avec 150 “partenaires”, c’est illégal. Et à mon sens ce genre de bouton viole aussi “éclairé”.)

Or, surprise, quand tu demandes à l’utilisateur si tu peux le tracer, et que cette demande est claire, simple et n’essaie pas de forcer sa main, l’énorme majorité des gens refuse. C’est bien pour ça que les gens se plaignent des pop-ups cookies actuelles, car elles sont envahissantes, font du chantage, tentent de forcer la main à coup de dark pattern.

Les annonceurs ne veulent pas te demander ton consentement, ils veulent que tu le donnes : ici encore, grosse nuance. Ils savent très bien que s’ils demandent simplement et honnêtement la plupart des gens va refuser et ils vont donc mourrir. C’est pour ça que la plupart des pop-ups cookies violent tout ou partie des 4 critères de validité que j’ai listé plus haut.

Et du point de vue des dégâts sur la publicité ciblée, plus que le RGPD, je pense que les navigateurs et les adblockers ont fait plus de mal encore à ce secteur en ajoutant jour après jours des mécanismes de protection de la vie privée.

Navigateurs qui répondent au besoin des utilisateurs de ne pas être pistés. Et j’ai comme un doute, la plupart des gens étant sur Chrome, qui est à la traîne côté vie privée (normal, c’est Google derrière).

Les bloqueurs, ici encore ça répond au besoin des utilisateurs, qui passent par un bloqueur car ils ne peuvent pas faire confiance aux annonceurs qui s’asseoient sur le RGPD avec leurs pop-ups violant les 4 critères (voire en traçant même si l’utilisateur n’a pas accepté, ça se fait également beaucoup). Si les annonceurs respectaient le RGPD, au lieu d’utiliser un bloqueur ces gens refuseraient la collecte de leurs données via une pop-up conforme au RGPD. Le résultat serait au final le même => les annonceurs ne pourraient pas exploiter les données de ces gens.

D’ailleurs les bloqueurs sont un excellent exemple du fait que les annonceurs veulent te forcer la main : le fait que l’utilisateur ait un tel bloqueur s’apparente à mon sens à un refus de donner son consentement pour être pisté. Mais alors pourquoi existe-t-il un jeu du chat et de la souris permanent entre les annonceurs qui tentent de contourner les blocages (par ex via alias CNAME) et les bloqueurs qui s’adaptent aux contournements ? Parce que les annonceurs veulent pister quand même ces utilisateurs qui manifestent pourtant très clairement le souhait de ne pas l’être :)

Le 08/08/2022 à 08h 49

Ca reste donc rentable. C’est sûr que ça l’est moins que s’il n’y avait pas l’amende, mais ça reste bien plus rentable que mettre la clé sous la porte en se mettant en conformité.

Le RGPD a juridiquement tué la pub ciblée, point. Ces boîtes ne peuvent que le violer ou cesser d’exister, car en se mettant en conformité notamment côté recueil de consentement VALIDE (donc sans dark pattern, véritablement éclairé, etc) 95% des utilisateurs ne donneront pas leur accord et elles n’auront donc quasi plus aucunes données à vendre.

Le 08/08/2022 à 07h 16

On verra si Critéo se met en conformité, ce qui me semble difficile vu son activité incompatible avec le RGPD, ou change de business. Si elle continue à peu près comme d’habitude, ce à quoi je m’attends, c’est que ces sanctions ne sont pas dissuasives et sont perçues par ce genre d’entreprise simplement comme un coût de fonctionnement dans un business qui reste malgré tout rentable.

Le 08/08/2022 à 08h 33

Twitter n’explique pas pourquoi il a mis 15 jours à communiquer à ce sujet alors que, comme le souligne Lukasz Olejnik dans sa newsletter, cette fuite de données serait l’une des plus importantes depuis que le RGPD a été adopté.

L’entreprise n’aura cependant pas manqué de notifier la CNIL et ses homologues dans les 72h, n’est-ce pas…?

Le 08/08/2022 à 08h 16

« Pour mettre fin à ce brouillage, l’idée paraît a priori simple : désactiver la carte SIM du TCU. Mais il faut savoir que les voitures connectées s’accommodent mal de la perte de leur connexion ! En effet, le véhicule se serait trouvé définitivement immobilisé : pas de TCU, pas d’issue ! »

Ca me rappelle le monde du jeu vidéo, où de plus en plus de jeux SOLO nécessitent une connexion internet permanente pour fonctionner. Cette manie de créer des dépendances inutiles…

Le 05/08/2022 à 07h 58

Notez que c’est le seul moment où il y a preuve technique de la supercherie : l’URL n’est pas authentique. Problème, peu de personnes seront à même de s’en apercevoir.

Vérifier l’URL n’est pas non plus infaillible, surtout si l’utilisateur est sur Firefox : https://www.xudongz.com/blog/2017/idn-phishing/

Le plus fiable à mon avis reste le gestionnaire de mdp, qui ne te proposera pas d’autofill si tu n’es pas sur le site légitime (car il sait lire une URL bien mieux qu’un humain).

Le 21/07/2022 à 14h 28

Tiens d’ailleurs ça se passe comment côté confidentialité des correspondances et e-lettres ensuite imprimées ? (outre la e-lettre rouge on peut déjà notamment envoyer un recommandé via le site de La Poste)

C’est une machine qui les imprime ET les plie ET les met dans une enveloppe ou un humain qui ferme les yeux pour ne pas lire le contenu au passage ?

Le 15/07/2022 à 13h 38

Je suis pas convaincu, il y a régulièrement des offres gratuites VPN avec un forfait “data” limité mais j’imagine bien un jeune motivé avoir ce genre de compte chez plusieurs fournisseurs différents.

Il y a aussi des VPN gratuits qui n’ont pas un débit si horrible, du moins c’est ce qu’ils prétendent. ProtonVPN par exemple.

Dans tous les cas pas de raison que ça tombe pas encore dans la logique “ça ne bloque pas efficacement donc ça ne suffit pas” abordée dans cet article.

Le 15/07/2022 à 13h 16

zeldomar a dit:

Mais dans le cas du porn, même les versions des sites non FR sont mis en demeures il me semble.

OB a dit:

C’est pour ça que nous, on essaie désespérément d’inclure les FAI dans la lutte, ce qui est leur seul moyen +/- faisable, mais aussi le moins efficace.

Comme dit par OB, la justice peut pas faire grand chose. Au “mieux” c’est du blocage DNS, ce qui se contourne en changeant de DNS (ça prend 2min) ou en utilisant un VPN. Donc même si les sites s’exécutent en refusant les visiteurs FR (on veut pas se conformer à votre législation donc vous avez pas le droit de venir, on a vu ça avec des sites étrangers et le RGPD) ou se font bloquer, suffit que le visiteur prétende avoir une autre nationalité (VPN) ou contourne le blocage (VPN/DNS). Efficacité quasi zéro.
Ce genre de loi inaplicable techniquement c’est voté par des vieux non-tech et ça empêche seulement les vieux non-tech d’accéder aux sites, pas les mineurs…

Les sites “clandestins” qui font du fric via pubs et cryptomineurs ils s’en fichent d’être bloqués par des autorités : de base ils sont dans l’illégalité car ils ont un catalogue de vidéos piratées et proposées sans abonnement. Donc les bloquer (ce qui est très relatif)… Ou même faire en sorte qu’ils ne puissent plus recevoir de paiements issus de France…

Le 15/07/2022 à 09h 44

Ce n’est pas (totalement ?) comparable selon moi.

Vente en ligne de clopes, si c’est illégal (ça l’est ?) les sites FR ferment et je suppose que si le mineur achète sur un site étranger ça se retrouverait bloqué à la douane ?

Si les sites porno FR ferment, le mineur va sur un site étranger et ça c’est imblocable à moins peut-être d’avoir un internet à la chinoise, ce qui ne sera jamais compatible avec notre législation, notamment côté vie privée et proportionnalité de l’atteinte (et tant mieux).
Donc le résultat c’est que tu flingues les sites FR. Et tu favorises potentiellement les sites glauques voire illégaux car eux de base s’asseoient sur les règles (et se rémunèrent via pubs, cryptomineur…)

La circulation de marchandises physiques c’est plus facile à contrôler que le numérique (j’y connais rien en douanes mais ça reste logiquement plus facile à contrôler que quelque chose qui est par nature incontrôlable et conçu pour être une hydre).

Le 14/07/2022 à 21h 19

Comparaisons simplistes et raccourcis :

• Un tournevis et un ordinateur on est pas du tout dans le même degré de complexité.


• Il est très difficile voire impossible d’esquiver ce genre d’appareil et le web en 2022 (à moins de vouloir par ex perdre des heures à faire la queue à un guichet), donc “si vous savez pas vous en servir yaka pas en utiliser”, bof.


• Certes la majorité des gens est naze en sécurité et hygiène informatique, mais quand bien même : au final si ton ado veut aller sur un site porno et a besoin de ton mdp pour ça, il trouvera un moyen de l’obtenir. Par exemple via un keylogger. Et ça y a pas de parade même si t’es expert en sécurité informatique (ce qu’on ne peut pas exiger de l’individu moyen), il y a un adage d’ailleurs : si la machine est compromise c’est foutu, point. Or ici l’attaquant vit sous ton toît, et a donc un accès physique à ta machine ;)

Le 14/07/2022 à 20h 55

misocard a dit:

Par contre je ne vois pas comment on pourrait valider la majorité sans passer par une entité qui pourrait faire le lien.

Le moins pire serait de faire des échanges via un token.

Je demande un token qui valide que je suis majeur. Je donne le token à un site qui a besoin de le savoir. Le site demande à l’entité de validation si le token est valide En fonction de la réponse je peux rentrer.

Le soucis c’est que l’entité de validation peut faire le lien entre celui qui demande le token et celui qui demande la validation du token. Peut être qu’une personne qui s’y connait mieux que moi dans le domaine sait quelle étape ajouter pour éviter ce problème.

Solution potentielle : l’entité de validation signe cryptographiquement le token. Le site peut alors vérifier la validité de son côté à l’aide de la clé publique de l’entité. Le site n’a alors pas besoin de contacter l’entité à chaque vérification et le lien ne peut pas être fait.

C’est comme ça que fonctionne la vérification du pass sanitaire : Ca se fait en local sur le smartphone car il a la clé publique de l’autorité émettrice du pass, pas de contact à un serveur central à chaque vérification (c’était le cas dans la V1 par contre, faut pas trop en demander à l’Etat côté projets numériques).

La problématique qui me vient à l’esprit par contre c’est que je vois mal comment ce genre de “token” peut marcher s’il n’embarque pas un moyen d’identifier l’utilisateur (comme le pass sanitaire). Sinon on pourrait imaginer des trafics de tokens valides, dès lors que le site n’a pas moyen de vérifier que l’utilisateur qui lui présente le token est bien le même que celui auquel l’entité l’a délivré.

Non non, y a pas à dire, le plus simple c’est que les parents dialoguent avec leurs gosses.

Le 23/10/2021 à 11h 14

BlackLightning a dit:

En complément de la recommandation de la CNIL sur les sels, on peut mentionner également les fonctions de dérivations de clés (PBKDF2, [bs]crypt, Argon2…), qui ont l’avantage d’affaiblir les attaques par brutes-forces du CPU à l’ASIC en passant par les GPUs.

La recommandation mentionne justement la nécessité d’utiliser une fonction ayant un coût en temps et/ou en mémoire paramétrable. Je suppose qu’elle se garde de donner des exemples pour éviter un effet boomerang si demain un exemple donné s’avère inadapté ou vulnérable mais que des devs ou entreprises se basent toujours sur ce texte pour choisir la fonction à utiliser, voire iront le brandir en cas de problème.

Tiens, exemple : TwitterEt pourtant OWASP recommande Argon2id, donc qui croire ?

Le 23/10/2021 à 07h 43

fp a dit:

Une recommandation est un instrument de “droit souple”, qui fixe des règles “minimales” de bonnes pratiques. Par nature, elle ne peut pas être contraignante (donc pas d’“obligation” possible dedans). Les responsables de traitement sont bien évidemment encouragés à “faire mieux” ; ils peuvent éventuellement faire “autrement”, voire (un peu) “moins bien”, si la situation le justifie (lire : s’ils peuvent le justifier auprès des services de la CNIL lors d’un contrôle par ceux-ci ).

Ils auraient pu intégrer ce check style HIBP aux recommandations, le NIST l’a bien fait. On aura sans doute ça dans 10 ans.

ilink a dit:

Au bureau, ils ont modifié firefox pour qu’il ne stocke plus les Mdp.. résultat ça agace les gens qui les mettent en note sur le bureau de Windows.

Bravo à eux. Il faut faire très attention avec les règles en matière de mdp : ce qui sur le papier augmente la sécurité peut en réalité la diminuer à cause du facteur humain (trop contraignant donc on adopte une pratique pire que si la règle n’était pas là, comme dans ton cas).
Pour ton cas je dirais qu’il manque une alternative intelligente : si les gens utilisent le navigateur pour stocker les mdp mais que ça ne convient pas, alors il faut leur fournir une autre solution de stockage, tel qu’un gestionnaire de mdp.

Le 09/06/2021 à 20h 38

Pour le coup il est loin de faire 48 caractères celui-ci…

Le 25/05/2021 à 12h 59

FrenchConneXion a dit:

C’est sûr et certain, on a voulu régler un problème en créant de nouveaux. Un exemple : les CMP gratuites comme Sirdata en profite pour refiler des cookies supplémentaires si vous acceptez ceux du site. Autrement dit, vous êtes encore plus traqué qu’avant…

Si ces cookies sont glissés avec les autres sans possibilité de s’opposer spécifiquement à eux c’est contraire au RGPD et ton consentement est invalide car non-spécifique/non-libre. Y a peut-être même moyen d’y trouver à redire également côté article 7.4 du RGPD.

Le 25/05/2021 à 10h 56

Winderly a dit:

Donc certains n’ont pas eu assez de 3 ans pour se mettre en conformité.

Tant que c’est pas trop tard il y a plus urgent, d’autant plus du fait du faible nombre de contrôles et sanctions (pour l’instant).

Vaark a dit:

À moins d’imposer un standard qui puisse être paramétré dans les navigateurs pour accepter ou refuser par défaut tout cookie non-essentiel

Impossible pour le volet “tout accepter par défaut”, le consentement ne serait pas valide aux yeux du RGPD car pas éclairé ni spécifique. Côté “tout refuser par défaut” il y a le header Do Not Track qui existe depuis des années, mais il n’est pas imposé juridiquement donc la plupart des sites l’ignore…

bilbonsacquet a dit:

Donc… ils n’ont rien compris au principe même de la protection des données personnelles…

Ils ont très bien compris mais ça ne les arrange pas du tout, d’où les dark patterns et autres procédés pour te pousser à accepter. Tout ça est illégal d’ailleurs, le consentement ainsi obtenu n’est pas valide aux yeux du RGPD car pas libre.

Le 25/05/2021 à 11h 03

Fabimaru a dit:

Bref, ça me donne l’impression que n’importe qui peut fermer le compte de n’importe qui, pour peu de connaître la date de naissance. Un « bright pattern »?

Ca s’appelle une faille surtout xD
Manque d’authentification, par ex email avec lien de confirmation envoyé à l’adresse en question.

Le 20/05/2021 à 12h 41

fred42 a dit:

Au niveau Européen, le RGPD permet le démarchage téléphonique puisqu’il rentre dans le cadre des buts légitimes (accroître sa clientèle).

C’te bonne blague, le fameux intérêt légitime magique invoqué à toutes les sauces !
Quand bien même ça serait le cas, l’entreprise A a bien eu ton numéro quelque part, or ce quelque part (disons entreprise B) a collecté ton numéro pour une autre finalité et a ensuite violé le RGPD en le refilant à l’entreprise A, non ?
A un endroit de la chaîne il y a forcément un élément qui n’a pas respecté le RGPD et a revendu ton numéro.
Je ne connais que deux exceptions :

• tu as donné ton consentement à l’entreprise B pour qu’elle puisse transmettre ton numéro à ses “partenaires” (ou autre terme BS), peu probable car je ne connais personne qui aime se faire démarcher au téléphone


• tu es déjà client de l’entreprise A et elle te démarche sur des produits ou services analogues à ce que tu lui as déjà acheté, auquel cas c’est l’opt-out qui prime

Le 20/05/2021 à 09h 06

Quelque chose m’échappe : Ce sujet est toujours présenté comme s’il y avait besoin de créer un texte n’existant pas déjà, alors qu’il y a le RGPD et que je ne vois pas en quoi il n’encadrerait pas le démarchage téléphonique. Après tout il s’agit ici simplement de l’exploitation d’une donnée à caractère personnel (numéro de téléphone), pourquoi le RGPD traiterait ça différemment des autres DCP ? Ou alors une énième fois la France s’asseoit sur la législation de l’UE ?

Hallucinant que ça soit toujours autant la jungle côté démarchage téléphonique, d’autant que c’est je crois beaucoup moins facile à filtrer que le spam par email, et que ça cible une portion particulièrement vulnérable de la population (seniors).

Le 11/05/2021 à 08h 40

Les liens affiliés en HTTPS ça serait chouette !

Le 14/03/2021 à 16h 34

Le SSO (single sign-on), cette bonne idée… Il suffit qu’un des sites auxquels FranceConnect fait confiance soit compromis pour compromettre tous les autres. Et quand on voit le niveau côté bonnes pratiques client side, c’est rassurant ! (non : https://observatory.mozilla.org/analyze/fc.assure.ameli.fr)

Enfin… Les gens ont une hygiène de mots de passe tellement catastrophique que même avec un risque de se faire siphoner les identifiants via un script malveillant FranceConnect est sans doute toujours mieux que les laisser taper un mot de passe très faible et/ou réutilisé.

Le 02/03/2021 à 08h 00

Valeryan_24 a dit:

Les applications bancaires aussi sont blindées de traceurs, et même si j’imagine qu’elles ne partagent pas le détail de nos relevés de compte, c’est quand même des infos sensibles…

Les applis je ne sais pas, mais certaines banques comme Boursorama ne se sont pas gênées sur leur site web pour partager le cookie de connexion de l’utilisateur avec un tracker : https://blog.imirhil.fr/2019/11/13/first-party-tracker.html
Partant de là il vaut mieux garder une imagination très ouverte…

(quote:1857178:Paul Muad’Dib)
C’est bien gentil tout ça mais quand on utilise uBlock Origin, Privacy Badger et autres extensions du même acabit, on accepte bien lors de leur installation “qu’elles aient accès à tout ce qui transite par le navigateur”.

Exactement : Twitter

Le 27/02/2021 à 11h 30

(quote:1856972:Boris Vassilieff)
La société de cybersécurité rennaise ACCEIS propose un outil pour vérifier à partir de son numéro de sécu, ce n’est pas légal ?

Ils ont au moins les hashes des numéros de sécu (c’est comme ça qu’ils font la vérification) donc à moins de ne pas avoir généré les hashes eux-mêmes ils ont eu accès au minimum aux numéros de sécu. C’est au mieux très glissant.
D’autant plus que ça veut dire que si tu connais le numéro de sécu d’un tiers tu peux également le vérifier, ce qui est au moins un minimum problématique côté confidentialité.

Le 17/11/2020 à 16h 35

TexMex a dit:

Si je comprend bien : Le mec trouve une faille d’usage du compte Twitter de Darmanin

Cette interprétation est tentante, mais à aucun moment il ne dit qu’il a trouvé le mot de passe du compte Twitter de Darmanin.
Tout ce qu’il a trouvé c’est que dans des fuites de données précédentes il y a l’adresse email que Darmanin utilise pour son compte Twitter, toujours associée à un même mot de passe très faible.
Je suppose qu’il en déduit donc que le compte Twitter a sans doute également le même mot de passe. Mais il s’est bien gardé de vérifier, vu que le faire serait du piratage et le rendrait passible de poursuites.
Ce qui rend plausible la déclaration du cabinet du ministre : “le mot de passe a été bien entendu changé (l’ancien n’était d’ailleurs pas celui indiqué !)”

Le 18/08/2020 à 11h 51

Macarie a dit:

Fraudais aussi que l’Europe balance une loi qui peut punir une entreprise qui ne respecte pas un minimum de sécurité.

On a déjà ça au niveau national avec la fameuse formule “manquement dans la sécurisation des données” (quoique peut-être que ça ne concerne que les données à caractère personnel), et on a le RGPD au niveau européen.

Le soucis c’est pas les lois, c’est le manque de moyens/volonté pour les faire respecter. Le RGPD en est un parfait exemple avec notamment la CNIL qui est décriée car jugée trop molle et/ou ne disposant pas de moyens suffisants.

Face à des sanctions non dissuasives voire inexistantes et à un risque diffus, les entreprises en viennent à une conclusion très simple : la formation du personnel à la sécurité et la mise aux normes des SI coûtent plus cher que la sanction ou la fuite/le piratage, car ils sont jugés suffisamment hypothétiques pour que ça soit calculé comme non rentable d’y inverstir.
Donc on ne change rien, car la priorité dans les dépenses c’est pas le “luxe” de la sécurité mais investir pour que l’entreprise fasse toujours plus de fric (ou fasse des emplois, comme on dit publiquement).

Et encore, ça c’est si les décisionnaires sont conscients des risques. Comme tu l’as dit, beaucoup n’en sont même pas à cette étape.

Le 11/08/2020 à 09h 07

Oui, ils ont bien amélioré, c’est cool.

Le header XSS est plus ou moins déprécié/inefficace donc ce n’est pas très grave.

Par contre dommage pour la CSP, c’est un des headers de sécurité les plus important.
https://www.troyhunt.com/the-javascript-supply-chain-paradox-sri-csp-and-trust-in-third-party-libraries/

Dommage également que Strict-Transport-Security ne soit pas preload, mais l’un comme l’autre ça va peut-être venir :)

Le 05/08/2020 à 18h 16

swiper a écrit :



On est quand même dans un cas particulièrement intéressant. Comment justifier des options de mot de passe si dépassés sans avoir honte et faire pipi au lit le soir.







Dépassées ? Pas si sûr. Les arguments de Spartoo ont du sens : imposer des jeux de caractères aux utilisateurs pour les mdp a en soi tendance à être contre productif : mdp trop difficile à retenir donc on le note sur un support non sécurisé, et/ou on le réutilise pour plusieurs comptes. Et exit les phrases de passe…

Pour que ça soit efficace ça doit s’accompagner d’une sensibilisation de l’utilisateur (encourager l’utilisation d’un gestionnaire de mdp par ex), de conseils, etc. Et encore, il faut que l’utilisateur y prête attention et ne se contente pas de contourner les règles parce que ça le gonfle.



Ce genre de doctrine ne doit pas être décidée à la légère, derrière des entreprises vont devoir s’y plier sous peine de sanctions similaires, donc si la doctrine est à côté de la plaque ça affaiblit leur sécurité et celle de leurs clients/salariés/utilisateurs.



Dans le même genre, la CNIL et l’ANSSI recommandent que les mdp soient changés régulièrement, et ça pour le coup c’est totalement dépassé comme conception : raison similaire que pour les jeux de caractères imposés, ça gonfle les utilisateurs et ils contournent en employant des pratiques qui affaiblissent la sécurité, comme celles que j’ai mentionnées plus tôt, ou encore se contenter d’incrémenter un chiffre au début ou à la fin du mdp.



A noter que le NIST adopte une position diamétralement opposée, ça mérite débat…

https://pages.nist.gov/800-63-3/sp800-63b.html

Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets.



Idem pour le changement régulier, le NIST est contre.



Pour approfondir la question : https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/

(non exhaustif, c’est un sujet très vaste, avec des avis divergents qui pour autant se tiennent, des études, etc)

Le 31/07/2020 à 07h 12

https://observatory.mozilla.org/analyze/www.fastmail.com



Joli ! " />

Mis à part JS eval(), ça c’est un curieux choix. Mais le reste le contrebalance aisément.



Edit : Ah leur implémentation de TLS est pas top par contre. Entre ça et PGP, ça a pas l’air d’être leur forte le chiffrement " />