À quelle porte faut-il toquer ? À celle de son bureau pour avoir des explications sur le DMA ? À celle de son domicile pour s'en prendre à lui ? À une autre porte ?
En quoi l'Europe foutrait-elle la merde en essayant de mettre un peu de concurrence là où des sociétés US ont un quasi monopole ?
Oulah 😳 à son bureau pour discuter du DMA, pourquoi j’irais m’en prendre à lui !!!
Ya un moment va falloir aller directement toquer à la porte (edit: de son bureau, vous êtes fous 😅) de ce Thomas Regnier pour qu’il explique pourquoi l’europe fou tant la merde…
Les clés de session sont régénérées tous les 100 messages environ. Et une clé capturées ne donne pas accès aux messages précédents. L'antivirus peut techniquement être configuré en délégation (certaines administrations peuvent en avoir besoin pour des questions de confidentialité en effet). Et les CVE viennent en général de la fédération et d'un serveur externe compromis. Mais Tchap est actuellement en fédération fermée, donc non concerné par la plupart des CVE.
Et si, du coup tu peux avoir accès aux 100 messages précédents (ou suivant) avec une clé de session, ce n’est donc pas de la vrai PFS/PCS au sens strict (matrix l’expliquera mieux que moi dans leur doc https://gitlab.matrix.org/matrix-org/olm/-/blob/master/docs/megolm.md ), contre Signal qui rotate à chaque message.
C’est à dire en délégation ? L’analyse peut se faire directement dans l’application pour respecter le e2ee ? Intéressant ! Et dans les faits, il y a des administrations qui sont au courant, et qui l’ont vraiment mis en place ?
En effet, c'est Element mais adapté à l'usage et au besoin des agents publics. Le niveau de sécurisation est donc très élevé (à peu près au même niveau que Signal). On a notamment ajouté un annuaire intégré de tous les agents publics opur qu'ils puissent entrer en contact de manière la plus directe possible. Olvid n'a pas cet annuaire intégré. 😀 (Disclaimer : je travaille dans l'équipe Tchap)
Alors non, on ne peut pas comparer la sécurité de Tchap (le protocole matrix.org) à celle de Signal ! Tchap utilise une « adaptation » du protocole double-ratchet de Signal pour la couche de chiffrement. Mais cette adaptation (vodozemac: olm/megolm, double/simple ratchet) n’est pas au niveau de Signal: notamment, pas de vrai Perfect Forward Secrecy ni de vrai Future Secrecy (message scoped) dans les conversations…
Pour le reste du protocol de communication (en dehors de la couche de chiffrement), le protocol utilisé par Tchap ne chiffre rien des métadonnées (à l’inverse de Signal), et est plus complexe (à cause des fédérations, des versionning de room) ce qui le rend bien plus propice à des bugs logiques (on voit passer des CVE assez régulièrement… pas sur Signal).
Et enfin, les fichiers échangés sur Tchap sont analysés par un antivirus sur les serveurs de Tchap. C’est bien, mais du coup c’est du chiffrement de bout en bout en bout, Tchap (l’État) a accès aux fichiers échangés, donc encore une fois, pas comparable à Signal.
Malgré tout ça, c’est sans doute réellement le meilleur choix de messagerie pour l’État, mais pas comparable à Signal.
On a essayé, mais quand il y en a trop à la suite l'effet n'est pas très joli. Mais j'ai bien conscience qu'il va falloir qu'on trouve le truc qui nous manque.
Sinon faire en sorte que les brèves prennent toute la largeur de la colonne (qu'elles s'étendent à gauche à la place de l'image manquante). Comme ça pas d'espace vide bizarre à gauche, et vu que ça prendra toute la largeur les brèves seront même moins "hautes" (un titre sur 2 lignes passera sur 1 ligne sur PC)
EDIT: j'ai testé en modifiant le CSS, j'aime beaucoup !
Non toujours pas d’abonnement premium dans l’onglet même après reconnection.
D’ailleurs cette fois je n’ai eu besoin d’essayer qu’une fois pour me login, je suspecte donc que le tout premier login sert à update le hash du password qui est différent sur Wordpress, ça pourrait être cool un petit message pour prévenir que le user ne s’est pas trompé et qu’il faut juste se reconnecter :)
C’est sans doute dommage que cet article ne parle de toute la recherche de Cloudflare en la matière, notamment leur article “Humanity wastes about 500 years per day on CAPTCHAs. It’s time to end this madness” qui parle d’attestation par yubikey ou en utilisant les fonctionnalités d’authentification intégrées à ios par exemple (via le trousseau, etc). Voir exemple de “captcha” (attestation) sur https://cloudflarechallenge.com/
Et du fait que tous les captcha actuels sont tous facilement contournable (même les derniers invisible de google) avec des sites comme anti-captcha, qui pose donc la question de l’utilitée des captchas : les bots sauront les contourner, les humains se les mangent… et les services de captchas ne bloquent pas ce genre de contournement car ce sont en fait des humains derrière qui les résolvent, et donc effectivement ça nourrie leurs IA… On vit dans une saucisse
C’est pas la première erreur de traduction assez grossière dans les Brief récemment, surtout pour un journal « Tech », j’ai l’impression qu’ils essaient de les automatiser par Google Trad
vscodium (vscode) est un très bon remplaçant sur linux et windows, très léger (tout marche par extension), plus pratique que que le bon vieux Notepad++ (et plus beau), à tester en vrai :)
Je vois pas vraiment ce qui empêcherait le Great Firewall (par exemple) de simplement bloquer les IP de ProtonVPN… protocol discret ou pas, si les IP sont bloquées, c’est terminé
la formule Unlimited à 9,99 euros par mois fournit le support de Tor
Je ne le vois pas dans la partie « pricing » du site, et je serais étonné que Tor ne soit pas supporté par tous les types de compte, étant donné leur récente communication sur le sujet
EDIT: ah pardon vous parliez du VPN, pas de protonmail, autant pour moi
J’ai l’impression que pour l’instant le projet Arti n’a pas de crate pour les guard, relay et exit node (et services onion). J’ai hâte que Tor passe en full Rust !
ça m’intéresserait de savoir pourquoi tu voudrais arrêter d’utiliser transmission-daemon, qui est quand même plus fait pour du seed qu’aria2c, une mauvaise expérience en particulier ?
Je ne savais pas que aria2c permettait le seed après le download, merci pour le tuto !
Juste 2 ptites remarques: vous mettez une liste d’options qui peuvent être ajoutées à aria2c dans le cas des torrents, mais vous omettez de mettre l’option que vous utilisez dans l’exemple juste en dessous (—bt-seed-unverified=true) c’est dommage^^ Aussi l’option -j ne limite pas à 20 fichiers (ou alors c’est mal formulé), ça limite le nombre de fichiers qui peuvent être téléchargés en parallèle.
Bah, il y a aussi eu pas mal de cas ou certains VPN no-log ont respecté leur promesse et n’ont pas pu aider les autorités même pour des cas de pédopornographie et autre…
Et je ne parlais pas forcement (ou pas seulement) d’un simple VPN no-log, avec un peu d’effort il devient facile de rendre impossible de remonter à la source (sinon je connais pas mal de dossiers qui auraient déjà été résolus…)
Tu rigoles mais sur TorBrowser le javascript est bien activé par défaut, malgré l’extension NoScript (elle est bien trop permissive par défaut…). À moins que tu troll justement ça^^
Comme le dit le Rust book, on peut y trouver plusieurs raisons, mais la principale est la suivante: la sûreté. Je préfère un langage qui soit plus strict par défaut.
Exemple, tu utilises une variable “i” dans ton code (mauvaise convention de nommage en passant), et un futur développeur qui reprends ton projet va rajouter plus bas une boucle ‘for’ qui utilise une variable “i” (classique), et bien si ça n’était pas immutable par défaut ça casserait tout (et la tu va me dire: oui mais le premier dev pouvait mettre un mot clé ‘const’ devant pour la rendre immutable. Effectivement, mais il aurait pu oublier de le faire parce que quand il codait il ne pensais pas forcément que quelqu’un d’autre puisse utiliser cette variable comme ça, donc par sécurité c’est mieux de faire l’inverse par défaut, par prévention).
En bref, c’est juste une inversion de paradigme (par rapport au C++ par exemple) pour éviter les erreurs de réécriture non souhaités (source de beaucoup d’erreurs), pour garder le contrôle sur la vie des variables… Et le compilateur va te prévenir si tu utilises des variables mutables alors que t’en a pas besoin, et inversement, ça reste donc très simple à utiliser ça n’ajoute pas de complexité (au contraire).
Et au final après quelques temps à coder comme ça tu te rendra compte qu’assez peu de variables ont vraiment besoin d’être mutables.
En clair, le texte vient casser leur rêve doré, en interdisant de prélever deux fois la ponction culturelle sur les biens remis sur le marché par les reconditionneurs.
Merci pour la réponse, j’entends l’argument qui est de vouloir supporter Mozilla.
Concernant la partie client, un avantage de Mullvad (important pour moi) est qu’elle a reçu un audit de sécurité de la part de Cure53 (à l’instar de la partie ‘serveur’, mais de ça MozillaVPN en profite indirectement), donc plus de confiance concernant les leaks d’IP, détournement du client (RCE), etc.
Aussi, je n’aime pas tellement que Mozilla collecte (et conserve) mon IP / localisation / OS, le choix du serveur qui du coup se retrouvera lié à mon compte Mozilla et mon IP… Mais ça c’est un choix personnel.
« Taken over by Codermak!!! Contact: codermak.hackerone@gmail.com »
Si j’étais parano j’aimerais tirer la conclusion rapide que le site vers lequel pointe Mozilla pour cette documentation technique (https://guardian-docs.herokuapp.com/) a été “hack” par ce “Codemak” (certains marqueurs comme le terme “taken over”, les points d’exclamations “!!!”, et le mail laissé en contact, donnent un sentiment d’urgence et laissent fortement croire à cette hypothèse), mais c’est peut-être simplement en lien avec un audit en cours avec Hackerone.com …
J’en ai reçu la confirmation de ce “Codermak”, c’était en effet bien lors d’un audit
Ils sont au même prix à l’année, Mullvad ne propose pas de dégressif, contrairement à Mozilla. Certains y verront aussi un moyen de financer Mozilla, de rendre l’entité plus indépendante financièrement. Elle est aussi plus rassurante pour d’autres. Sur le fond, il faudra aussi voir l’évolution des clients avec le temps, et si des fonctionnalités se distinguent
Merci pour la réponse, j’entends l’argument qui est de vouloir supporter Mozilla.
Concernant la partie client, un avantage de Mullvad (important pour moi) est qu’elle a reçu un audit de sécurité de la part de Cure53 (à l’instar de la partie ‘serveur’, mais de ça MozillaVPN en profite indirectement), donc plus de confiance concernant les leaks d’IP, détournement du client (RCE), etc.
Aussi, je n’aime pas tellement que Mozilla collecte (et conserve) mon IP / localisation / OS, le choix du serveur qui du coup se retrouvera lié à mon compte Mozilla et mon IP… Mais ça c’est un choix personnel.
« Taken over by Codermak!!! Contact: codermak.hackerone@gmail.com »
Si j’étais parano j’aimerais tirer la conclusion rapide que le site vers lequel pointe Mozilla pour cette documentation technique (https://guardian-docs.herokuapp.com/) a été “hack” par ce “Codemak” (certains marqueurs comme le terme “taken over”, les points d’exclamations “!!!”, et le mail laissé en contact, donnent un sentiment d’urgence et laissent fortement croire à cette hypothèse), mais c’est peut-être simplement en lien avec un audit en cours avec Hackerone.com …
Bon article Il manquerait pourquoi pas une partie « terminal » avec quelques commandes git, on ne peut pas toujours faire ses PR uniquement via l’éditeur Web
La raison pour laquelle le Rust attire autant c’est qu’il allie performances du C avec sureté et sécurité by design. Avec le Rust va falloir y aller très fort pour arriver à avoir un leak de mémoire, le compilateur vous empêchera de faire de la merde pour que tout se passe comme prévu à l’exécution, et ça, c’est vraiment cool!
Ce qui est nouveau, ce n’est pas le support du second facteur, qui est, comme tu le dis, disponible depuis longtemps. Ce qui est nouveau, c’est le support FIDO2 Webauthn, et surtout le fait que tu n’ai plus besoin d’enregistrer au préalable ton numéro de téléphone et activer le 2FA par SMS pour avoir ensuite accès aux autres second facteurs supportés.
De même, jusqu’à il y a peu, désactiver le second facteur par SMS faisait sauter toute authentification forte, même si un clef de sécurité ou une application tierce était utilisée.
Alors il y a une erreur dans le brief :)
« Le service prend en charge cette authentification depuis longtemps, mais seulement via le texto. »
Cela fait plus d’un an que j’utilise la 2FA par OTP sur Twitter… je suis surpris de cette news, mais bon, bonne nouvelle pour ceux qui n’avaient pas encore cette fonctionnalité
49 commentaires
Le 29/09/2025 à 20h43
Modifié le 29/09/2025 à 20h47
Le 04/08/2025 à 19h26
C’est à dire en délégation ? L’analyse peut se faire directement dans l’application pour respecter le e2ee ? Intéressant ! Et dans les faits, il y a des administrations qui sont au courant, et qui l’ont vraiment mis en place ?
Merci pour ta réponse
Le 04/08/2025 à 13h53
Pour le reste du protocol de communication (en dehors de la couche de chiffrement), le protocol utilisé par Tchap ne chiffre rien des métadonnées (à l’inverse de Signal), et est plus complexe (à cause des fédérations, des versionning de room) ce qui le rend bien plus propice à des bugs logiques (on voit passer des CVE assez régulièrement… pas sur Signal).
Et enfin, les fichiers échangés sur Tchap sont analysés par un antivirus sur les serveurs de Tchap. C’est bien, mais du coup c’est du chiffrement de bout en bout en bout, Tchap (l’État) a accès aux fichiers échangés, donc encore une fois, pas comparable à Signal.
Malgré tout ça, c’est sans doute réellement le meilleur choix de messagerie pour l’État, mais pas comparable à Signal.
Le 09/07/2024 à 23h41
Modifié le 29/04/2024 à 22h01
EDIT: j'ai testé en modifiant le CSS, j'aime beaucoup !
Le 21/11/2023 à 17h20
D’ailleurs cette fois je n’ai eu besoin d’essayer qu’une fois pour me login, je suspecte donc que le tout premier login sert à update le hash du password qui est différent sur Wordpress, ça pourrait être cool un petit message pour prévenir que le user ne s’est pas trompé et qu’il faut juste se reconnecter :)
Modifié le 21/11/2023 à 09h17
Le 04/09/2023 à 21h48
C’est sans doute dommage que cet article ne parle de toute la recherche de Cloudflare en la matière, notamment leur article “Humanity wastes about 500 years per day on CAPTCHAs. It’s time to end this madness” qui parle d’attestation par yubikey ou en utilisant les fonctionnalités d’authentification intégrées à ios par exemple (via le trousseau, etc). Voir exemple de “captcha” (attestation) sur https://cloudflarechallenge.com/
Et du fait que tous les captcha actuels sont tous facilement contournable (même les derniers invisible de google) avec des sites comme anti-captcha, qui pose donc la question de l’utilitée des captchas : les bots sauront les contourner, les humains se les mangent… et les services de captchas ne bloquent pas ce genre de contournement car ce sont en fait des humains derrière qui les résolvent, et donc effectivement ça nourrie leurs IA… On vit dans une saucisse
Le 10/01/2023 à 07h45
Génial je vais pouvoir générer mes comptes-rendu
Le 09/01/2023 à 21h15
Merci pour les précisions, et désolé d’avoir lancé ce débat
Le 09/01/2023 à 12h42
Exactement 😅 Mais bon le rédacteur a corrigé une partie, merci à lui 👍
Le 09/01/2023 à 09h34
j’aurais soit dit
« ajout du support du codec AV1 »
ou
« ajout de l’encodage AV1 »
le terme « codage » ne me parait pas précis ici… mais effectivement certains sites disent qu’il peut être utilisé dans certains cas, mea culpa
Le 09/01/2023 à 08h17
C’est pas la première erreur de traduction assez grossière dans les Brief récemment, surtout pour un journal « Tech », j’ai l’impression qu’ils essaient de les automatiser par Google Trad
Le 09/01/2023 à 08h15
On parle de « codec » pour AV1 ou HEVC, pas de « code » ou de « codage », sinon ça ne veut rien dire
Le 22/11/2022 à 08h06
vscodium (vscode) est un très bon remplaçant sur linux et windows, très léger (tout marche par extension), plus pratique que que le bon vieux Notepad++ (et plus beau), à tester en vrai :)
Le 15/10/2022 à 07h56
Je vois pas vraiment ce qui empêcherait le Great Firewall (par exemple) de simplement bloquer les IP de ProtonVPN… protocol discret ou pas, si les IP sont bloquées, c’est terminé
Le 21/09/2022 à 06h38
Oh le spoil pour Marc Rees 😇
Dommage, pas sur d’aller le lire la bas à 10€ par mois, sur un sujet autant de niche…
Le 06/09/2022 à 11h44
Il aurait fallu que l’article précise « des informations publiques » pour que ce soit plus clair effectivement
Le 06/09/2022 à 11h42
Il me semble qu’on a déjà la réponse, que ce leak est un fake :
Twitter
Le 05/09/2022 à 06h16
🦀
Le 27/05/2022 à 09h44
Je ne le vois pas dans la partie « pricing » du site, et je serais étonné que Tor ne soit pas supporté par tous les types de compte, étant donné leur récente communication sur le sujet
EDIT: ah pardon vous parliez du VPN, pas de protonmail, autant pour moi
Le 05/05/2022 à 18h12
Bon anniversaire !
Le 02/03/2022 à 20h53
J’ai l’impression que pour l’instant le projet Arti n’a pas de crate pour les guard, relay et exit node (et services onion). J’ai hâte que Tor passe en full Rust !
Le 18/09/2021 à 10h39
J’ai hate de gagner en fait quoi :)
Le 15/09/2021 à 18h18
Je tente ma chance, merci :)
Le 12/09/2021 à 08h40
À demain 🤞
Le 07/09/2021 à 06h03
Je tente ma chance!
Le 25/08/2021 à 13h34
ça m’intéresserait de savoir pourquoi tu voudrais arrêter d’utiliser transmission-daemon, qui est quand même plus fait pour du seed qu’aria2c, une mauvaise expérience en particulier ?
Le 25/08/2021 à 09h10
Je ne savais pas que aria2c permettait le seed après le download, merci pour le tuto !
Juste 2 ptites remarques: vous mettez une liste d’options qui peuvent être ajoutées à aria2c dans le cas des torrents, mais vous omettez de mettre l’option que vous utilisez dans l’exemple juste en dessous (—bt-seed-unverified=true) c’est dommage^^
Aussi l’option -j ne limite pas à 20 fichiers (ou alors c’est mal formulé), ça limite le nombre de fichiers qui peuvent être téléchargés en parallèle.
Le 23/08/2021 à 15h17
Bah, il y a aussi eu pas mal de cas ou certains VPN no-log ont respecté leur promesse et n’ont pas pu aider les autorités même pour des cas de pédopornographie et autre…
Et je ne parlais pas forcement (ou pas seulement) d’un simple VPN no-log, avec un peu d’effort il devient facile de rendre impossible de remonter à la source (sinon je connais pas mal de dossiers qui auraient déjà été résolus…)
Le 23/08/2021 à 09h58
Oui enfin si le gars n’a pas protégé son adresse IP c’est qu’il ne voulait pas rester « anonyme », aussi simple que ça^^
Ici on peut juste parler de pseudonymat, mais pas d’anonymat.
Le 04/07/2021 à 14h10
Et hop, tranquille jusqu’en 2023 :)
Le 29/06/2021 à 20h34
Tu rigoles mais sur TorBrowser le javascript est bien activé par défaut, malgré l’extension NoScript (elle est bien trop permissive par défaut…). À moins que tu troll justement ça^^
Le 17/05/2021 à 11h22
J’avais effectivement oublié de préciser « dans la plupart des cas » mais ce n’est de toute façon pas le débat ici. Merci tout de même.
Le 17/05/2021 à 10h25
Comme le dit le Rust book, on peut y trouver plusieurs raisons, mais la principale est la suivante: la sûreté. Je préfère un langage qui soit plus strict par défaut.
En bref, c’est juste une inversion de paradigme (par rapport au C++ par exemple) pour éviter les erreurs de réécriture non souhaités (source de beaucoup d’erreurs), pour garder le contrôle sur la vie des variables… Et le compilateur va te prévenir si tu utilises des variables mutables alors que t’en a pas besoin, et inversement, ça reste donc très simple à utiliser ça n’ajoute pas de complexité (au contraire).
Et au final après quelques temps à coder comme ça tu te rendra compte qu’assez peu de variables ont vraiment besoin d’être mutables.
Le 06/05/2021 à 09h39
Encore heureux, ça aurait été le comble !
Le 06/05/2021 à 08h52
J’en ai reçu la confirmation de ce “Codermak”, c’était en effet bien lors d’un audit
Le 06/05/2021 à 08h27
Merci pour la réponse, j’entends l’argument qui est de vouloir supporter Mozilla.
Concernant la partie client, un avantage de Mullvad (important pour moi) est qu’elle a reçu un audit de sécurité de la part de Cure53 (à l’instar de la partie ‘serveur’, mais de ça MozillaVPN en profite indirectement), donc plus de confiance concernant les leaks d’IP, détournement du client (RCE), etc.
Aussi, je n’aime pas tellement que Mozilla collecte (et conserve) mon IP / localisation / OS, le choix du serveur qui du coup se retrouvera lié à mon compte Mozilla et mon IP… Mais ça c’est un choix personnel.
D’ailleurs en essayant d’avoir plus de détails sur cette partie, j’ai essayé de récupérer depuis https://www.mozilla.org/fr/privacy/mozilla-vpn/ la « documentation technique et celle concernant la collecte de données d’interaction » (https://guardian-docs.herokuapp.com/api/swagger/#/) mais elle semble avoir été volontairement retirée par un certain “Codemark” avec le message suivant :
« Taken over by Codermak!!!
Contact: codermak.hackerone@gmail.com »
Si j’étais parano j’aimerais tirer la conclusion rapide que le site vers lequel pointe Mozilla pour cette documentation technique (https://guardian-docs.herokuapp.com/) a été “hack” par ce “Codemak” (certains marqueurs comme le terme “taken over”, les points d’exclamations “!!!”, et le mail laissé en contact, donnent un sentiment d’urgence et laissent fortement croire à cette hypothèse), mais c’est peut-être simplement en lien avec un audit en cours avec Hackerone.com …
Le 06/05/2021 à 06h40
Je vois pas tellement l’intérêt d’utiliser MozillaVPN alors que derrière ça utilise MullvadVPN qui est 2 fois moins cher au mois…
Le 21/08/2020 à 06h48
Bon article
Il manquerait pourquoi pas une partie « terminal » avec quelques commandes git, on ne peut pas toujours faire ses PR uniquement via l’éditeur Web
Le 03/08/2020 à 16h17
Toi tu n’a pas vraiment lu l’article ^^
Le 24/06/2020 à 10h40
C’est cher, alors que Bitwarden existe gratuitement sans limite (et 10€/an si besoin de TOTP ect)
Le 18/05/2020 à 08h23
Effectivement^^
La raison pour laquelle le Rust attire autant c’est qu’il allie performances du C avec sureté et sécurité by design. Avec le Rust va falloir y aller très fort pour arriver à avoir un leak de mémoire, le compilateur vous empêchera de faire de la merde pour que tout se passe comme prévu à l’exécution, et ça, c’est vraiment cool!
Le 12/03/2020 à 10h33
Euh tu fera gaffe 80% de l’argent que tu as sur ton compte en banque n’existe pas physiquement 😇
Le 26/02/2020 à 09h57
C’est long à dump une bdd de 9Go :)
Le 26/11/2019 à 14h47
Le 26/11/2019 à 09h49
Cela fait plus d’un an que j’utilise la 2FA par OTP sur Twitter… je suis surpris de cette news, mais bon, bonne nouvelle pour ceux qui n’avaient pas encore cette fonctionnalité
Le 11/04/2019 à 09h09
C’est marrant on se retrouve avec les mêmes types d’attaque sur WPA3 que sur WPA2 au final