Il faudrait une option "Installer les mises à jour au prochain démarrage", ça embêterait moins de monde ; Démarrage, café-collègues, boulot 😁 (en espérant qu'il n'y ait pas un bug sur le redémarrage...)
Je l'ai reçue le 2 septembre à 21 heures. Bon, ça fait un peu loin maintenant pour dire que c'est un envoi par vague.
Tente un ticket au support pour dire que tu n'as pas eu l'info. Je n'ai pas trouvé non plus de comm dans le portail.
Réponse d'Infomaniak à l'instant. Du coup, tout le monde ne semble pas concerné (je suis en Belgique, peut-être n'est-ce que des comptes FR qui sont concernés ?) :
Bonjour,
Merci pour votre message.
Effectivement, nos systèmes de sécurité ont détecté et immédiatement bloqué une tentative d’accès non autorisé contre notre infrastructure. Par souci de transparence, nous avons informé uniquement les comptes potentiellement concernés.
Nous n’avons pas publié de communiqué public, car il ne s’agit pas d’une faille généralisée, mais d’une mesure ciblée d’information auprès des clients concernés.
Vos services restent sécurisés, et nous vous recommandons simplement, comme bonne pratique générale, de maintenir des mots de passe robustes et d’activer la double authentification.
Nous restons bien entendu à votre disposition pour toute autre question.
Merci pour votre confiance. Nous restons à votre disposition.
Toujours rien reçu, alors que c'est un abo payant à plusieurs organisations :-/ . Je n'avais rien non plus dans les notifications du compte. Quelqu'un a un lien vers une news/page infomaniak ou autre ?
Mais en effet, ça reste un écocide. Ce serait comme dire qu'on tue des gens, mais avec une arme de seconde main et acheté localement. C'est un joli effort, mais insignifiant fasse au problème initial. Après, si ça remplace les autres IA, c'est toujours mieux, mais j'ai un (très gros) doute...
bof, qu'on refroidisse de l'air avec de l'eau directement ou de l'eau puis de l'air, l'idée c'est toujours de déplacer les calories/joules/Mwh/autre chez le voisin, c'est le principe de refroidir: déplacer de l'énergie dont on ne veut pas façon poubelle, (hé ouais des fois on n'en veux pas, mais elle ne se perd jamais), juste diluer les glaçons dans l'eau moins chaude, comme disait mon cousin le pingouin sur sa banquise en faillite. Je ne parlais pas en termes de bilan thermique, mais en termes de coût immédiat, qui sera certainement le critère numéro 1 sur l'affaire, donc de bons gros ventilateurs sur de bons gros radiateurs, ça peut le faire de ce côté là. Accessoirement, il est possible de construire des serres agricoles autour pour cultiver des bananes. Il y avait déjà la lentille du Berry, ça ferait diversification
Et est-ce que dans ce genre de projet énergivore, la ville/région/état peut faire en sorte, ou impose, que cette eau chaude soit utilisée ailleurs (piscines, logements, ...) ? Genre à côté de chaque datacenter, un centre aquatique ? 😅 (je n'ai aucune idée de la température d'une eau qui sort d'un datacenter...)
Mais une grosse régression de la compétence allemande dans les fusées par rapport à aux années 40 du siècle dernier. Il faut dire que ces compétences ont été pillées par les alliés.
Pourtant leurs fusées des années 40 avaient aussi vocation à ne pas aller en orbite, rejoindre le sol, et exploser, non ? Donc peut-être pas une régression au final 🙄
Et du coup pour les mises-à-jour de sécurité, elles étaient déployées dans quelle branche avant ? S'il faut attendre "quelques" semaines pour les avoir sur la branche AOSP, c'est un peu la loose, surtout pour les GrapheneOS, CalyxOS et autre (qui sont orientés privacy).
Dans quelques jours, sur les cartes en ligne aux US : - Canada : 51e états des USA - Groenland : 52e états des USA - Ukraine : Province Ukrainienne de Russie - Gaza : Israël - Le reste du monde : Sans nom (faudrait pas que les gens aient envie de partir ailleurs...)
Je ne comprends pas ; les mots de passe ont très bien pu être générés, envoyés (certes en clair), puis stockés hachés non ? Ça n'enlève pas le fait que le "mailer" peut lire ces mots de passe, mais ça retire la question du stockage non ? (Ou alors j'ai loupé un truc 🤔)
Sinon on envoie Bruce Willis mettre un gros pétard au milieu de l'ISS. La première moitié est freinée par l'explosion et redescend sur Terre, la seconde est accélérée et rejoint l'orbite garage/musée. Ainsi, tout le monde est content. Je n'ai pas fait le calcul précis pour la quantité à faire exploser, je le laisse aux autres
Est-ce comparable à Signal qui couperait son service si l'Europe demande des backdoors ? Bon là, ils ne semblent pas avoir prévenus, c'est peut-être ça qui pêche en fait...
À l'époque où tu avais des clés logiciel sur papier et tant que protection, on m'avait fait remarquer que certains caractères étaient proscrits afin d'éviter ce genre de problème.
Au pire, les groupes de caractères qui posent des problèmes pour ton logiciel de reconnaissance d'écriture peuvent être réunis (une matrice de confusion est facile à faire) sous un seul caractère (celui qui provoque le moins de confusions avec les autres caractères en dehors du groupe). Ainsi pour générer ton code, tu n'as qu'à piocher dans cet alphabet.
pwgen, un utilitaire pour générer des mots de passe, a l'option -b pour retirer les caractères ambigus. Pratique si on doit communiquer le résultat (sans entrer dans la question du secret partager hein )
Alors, pour mobile : c'est pas prévu, mais ça pourra se discuter si on arrive à un stock de vannes sympa ! Pour l'instant il n'y en a que 3 (bientôt 4 ) Je pars du principe de laisser l'affichage en random pour qu'elles soient toutes dispo - pour le moment.
Ahah merci ! Oui elles sont mieux placées ici. Il y en aura de nouvelles bientôt. Ferd et l'équipe des devs m'ont bichonné un petit système de gestion simple et au poil pour ces dernières.
D'ailleurs, étant principalement sur mobile, je ne vois les pubs que lorsque je me perds sur mon laptop... Comment avoir les pubs sur mobile, ou comment avoir l'historique des pubs sur laptop ? (ah ah, je ne pensais pas poser cette question un jour )
Yes ! C'est un essai, on va voir si on le conserve, mais pourquoi pas après tout 😊
Ah OK, bizarre, mais comme certaines fois, je n'ouvre un article que pour voir le sous-titre, l'illustration de Flock en détail (si c'en est une) et survoler rapidement le contenu (j'ai encore 350+ articles next (et next inpact du coup) à lire dans mon flux RSS...), c'est pas bête de mettre le sous-titre juste sous l'illustration . On verra si l'essai se transforme :-)
L'historique listé dans dernier paragraphe est intéressant. Il existe un site où on peut choisir une entreprise (ou secteur) et avoir l'historique toutes les CVE/fuites/* ?
J'ai pour ma part résisté un moment il y a environ 18 mois quand ils ont imposé Oauth2, qui m'a posé pb sur une adresse secondaire utilisée pour relayer mes notif domotique, ce mode d'authentification n'étant pas supporté. Il y avait bien les mots de passe dits d'application pour s'en tirer avec user/pass classique, mais il fallait activer la double auth et donner son tél...
J'ai donc testé: -laposte: Qqjours après, ce fut la pleine déconfiture d'alors avec coupure SMTP/IMAP qui a dû mettre des semaines à revenir. Inutile de dire que j'ai compris qu'il ne fallait pas compter sur leur fiabilité. -mailo: En moins de 2 semaines, j'ai pris des quotas non écrits sur une volumétrie de mail qui est montée temporairement suite à un pb alarme... mais aurait pu monter idem sur un vrai problème en fait. Après discussion support, même leur version payante a ces quotas et n'était donc pas uen solution. -Orange (mon FAI): Ca a bien marché 2 jours, puis leur load-balancing semble m'avoir envoyé vers un serveur configuré pour des versions/protocoles que les lib ssl récentes refusaient par défaut. La seule option aurait été de baisser les requis du SSL de la machine complète... ce qui n'est pas génial.
Au final, j'ai donné mon tél au seul sur lequel j'avais pu compter sans faille depuis 6 ans: Gmail...
C'est con, mais c'est ainsi.
Et pourquoi pas les services mail comme quoi infomaniak, proton, ou autre ?
Il existe bien un enregistrement DNS pour ça (CAA). Il permet de définir l’autorité de certification qui est sensé avoir délivré le certificat.
Donc les sites le voulant pourront bel-et-bien avertir leurs visiteurs (et les admins) :-) . Les sites pourraient utiliser une popup du genre “La connexion avec ce site web n’est pas sûre. Accepter - Paramétrer”
Il n’y a pas un mécanisme “web” prévu pour qu’une entrée DNS confirme l’authenticité du certificat ? Couplé avec ça (https://blog.imirhil.fr/2023/10/21/stealth-master-dnssec.html), ça devrait permettre aux sites web d’alerter leurs visiteurs non ?
Quand c’est la justice qui demande un test de paternité, ça passe par ce genre de société privée ? Ou tu ne parles que des tests décidés par soi-même ?
A propos de la refonte du site, est-ce que le Wordpress sera PWA ? Je ne sais pas si beaucoup s’en servent, mais je trouve ça pratique sur téléphone. Je ne sais pas non plus si c’est “juste” un manifest à mettre dans le ou si c’est plus complexe.
Il y a une information fondamentale qu’on ne vous a pas donnée, c’est que la limite à une semaine d’ouverture des comms va sauter. On passe sur un mois minimum.
Ah ça c’est bien pour ceux qui ont un retard (permanent ) dans la lecture des articles !
Le fait que quelqu’un puisse voir sur l’écran mon code pendant que je le rentre me gêne terriblement. Le clavier physique est plus discret pour cela.
On parle de certaines stations essence qui demandent, à l’abri des regards indiscrets, de saisir son code confidentiel sur des grands écrans tactiles verticaux ?
Donc le Yubikey ne sert pas à grand chose, si on peut passer outre
Triodos a le “même” problème ; il y a la méthode login/password, sans 2FA, et les méthodes où il faut installer l’app mobile, mais on peut toujours utiliser le login/password. Du coup, je trouve que c’est un faux sentiment de sécurité d’avoir l’auth via l’app, étant donné qu’il y a le login/password (dont tu oublies l’existence et la “force”) qui est toujours actif.
Va falloir qu’ils fassent plus que copier sur ce coup là puisque même “l’original” n’y arrive pas à tout récupérer
Bah les chinois forkent le repo spacex/starship, et ils y font des ajouts. Ensuite, spacex n’aura plus qu’à merger les modifs qui l’intéresse. J’aime bien cet esprit coopératif entre deux pays que beaucoup de choses opposent
J’ai eu la blague ; mon téléphone est tombé et s’est cassé. Le portail de l’opérateur ne permettait pas de télécharger une nouvelle eSIM, je devais me rendre sur place alors que j’étais très loin de chez moi. Après avoir récupéré une photo du QR code original, je tente de l’installer sur le nouveau téléphone -> échec . Je dois bel-et-bien passé en boutique pour récupérer un nouveau QR code (alors que le premier contact avec le support m’avait dit que scanner le QR code initial suffirait).
Depuis, mon avis est partagé sur les eSIM.
Et on ne peut en effet activer que 2 profils (1 SIM + 1 eSIM ou 2 eSIM) en même temps. J’ai eu un échec lors de la troisième activation (ajout d’une eSIM a “1 SIM + 1 eSIM”)… je garde donc un autre téléphone physique à côté pour que ces trois numéros restent joignables, alors que j’avais changé de téléphone vers un compatible eSIM pour éviter ça :-| …
Tiens, question peut-être bête… Pourquoi, à l’époque, Trump n’a pas simplement créé une instance Mastodon ? Il aurait été libre de dire ce qu’il souhaite (vu qu’il est proprio de l’instance) dans un écosystème existant, et sans avoir de contrainte contractuelle. Ça me semble tellement facile que je dois louper quelque chose …
L’augmentation de l’abonnement ne me dérange pas, par contre, l’augmentation des articles me gêne ; je n’ai pas le temps de tout lire, et dois donc “sacrifier” certains article sous peine d’avoir des retards de plusieurs semaines !!! C’est donc gênant que vous fassiez du boulot qualificatif ET quantitatif ! (Vraiment, honteux au XXIe siècle !)
j’ai vu une explication sur ce sujet aussi, et je me demande si c’était pas dans la vidéo d’Astronogeek sur Jupiter mentionnée plus haut. En pratique, les équipes qui ont besoin de temps d’observation soumettent leur projet à l’équipe JWT, qui alloue les créneaux d’observation en conséquence. Donc oui, il faut “un dossier solide avant de donner ordre au téléscope de pointer vers quelque part”.
En effet : YouTube (Science Étonnante sur le JWST)
Tiens, qui décide quelle sera la prochaine cible du téléscope ? Parce que bon, j’imagine que c’est pas le stagiaire qui dit vouloir une photo de Jupiter pour mettre dans sa chambre… et qu’au contraire, il doit falloir pondre un dossier solide avant de donner ordre au téléscope de pointer vers quelque part.
Au pire go GrapheneOS ou éventuellement CalyxOS, n’installez pas LineageOS en raison de l’absence du démarrage vérifié, préféré DivestOS qui est un fork de Lineage et qui prends en charge démarrage vérifié.
Attention que pour le Pixel 3, GrapheneOS est en legacy (https://grapheneos.org/releases), ça semble être une version d’août 2021 qui reçoit les updates sécu.
Fumble a dit:
Google communique sur le support des mises à jour de ses téléphones: Google
Les prochains à passer à la casse au mois de mai: 3a et 3a XL.
Deg (mais merci pour l’info)… je viens d’acheter un Pixel 3a d’occasion voyant qu’il était toujours maintenu :‘( … j’espère que GrapheneOS ou CalyxOS ne l’abandonneront pas tout de suite :-/ .
Et comparé à packagist ? Car bon, les “je balance mon projet du moment sur packagist/npm/* parce que je trouve ça fun”, il doit y en avoir des tas, et sur toutes les plateformes .
Question toute bête, c’est pas “risqué” d’avoir ses mots de passe et ses clés “QR-code” MFA dans le même outil ? J’utilise bitwarden en auto-hébergé mais ne veux pas y inclure mes MFA, bien que l’idée soit super tentante. Je les garde du coup sur FreeOTP+, qui fait très bien le job, mais des fois pour me m’identifier à un service, je dois me lever du canap et me rappeler où j’ai laissé mon GSM…
67 commentaires
Le 03/11/2025 à 21h03
Le 30/10/2025 à 19h49
Le 22/10/2025 à 23h59
Le 01/10/2025 à 23h21
Modifié le 05/09/2025 à 16h44
Du coup, tout le monde ne semble pas concerné (je suis en Belgique, peut-être n'est-ce que des comptes FR qui sont concernés ?) :
Bonjour,
Merci pour votre message.
Effectivement, nos systèmes de sécurité ont détecté et immédiatement bloqué une tentative d’accès non autorisé contre notre infrastructure. Par souci de transparence, nous avons informé uniquement les comptes potentiellement concernés.
Nous n’avons pas publié de communiqué public, car il ne s’agit pas d’une faille généralisée, mais d’une mesure ciblée d’information auprès des clients concernés.
Vos services restent sécurisés, et nous vous recommandons simplement, comme bonne pratique générale, de maintenir des mots de passe robustes et d’activer la double authentification.
Nous restons bien entendu à votre disposition pour toute autre question.
Merci pour votre confiance. Nous restons à votre disposition.
Le 04/09/2025 à 00h37
Je n'avais rien non plus dans les notifications du compte.
Quelqu'un a un lien vers une news/page infomaniak ou autre ?
Le 03/08/2025 à 15h28
Après, si ça remplace les autres IA, c'est toujours mieux, mais j'ai un (très gros) doute...
Le 26/06/2025 à 15h15
Genre à côté de chaque datacenter, un centre aquatique ? 😅 (je n'ai aucune idée de la température d'une eau qui sort d'un datacenter...)
Le 06/05/2025 à 15h28
Le 31/03/2025 à 12h39
Le 28/03/2025 à 14h49
Le 13/02/2025 à 08h58
- Canada : 51e états des USA
- Groenland : 52e états des USA
- Ukraine : Province Ukrainienne de Russie
- Gaza : Israël
- Le reste du monde : Sans nom (faudrait pas que les gens aient envie de partir ailleurs...)
Le 06/02/2025 à 08h50
Le 04/02/2025 à 16h48
Ça n'enlève pas le fait que le "mailer" peut lire ces mots de passe, mais ça retire la question du stockage non ? (Ou alors j'ai loupé un truc 🤔)
Le 03/12/2024 à 16h17
Le 12/10/2024 à 14h16
Le 19/07/2024 à 14h45
Je n'ai pas fait le calcul précis pour la quantité à faire exploser, je le laisse aux autres
Le 17/07/2024 à 16h11
Le 09/07/2024 à 17h41
Le 29/06/2024 à 20h30
Bon là, ils ne semblent pas avoir prévenus, c'est peut-être ça qui pêche en fait...
Le 12/06/2024 à 16h45
Modifié le 12/06/2024 à 14h25
Le 21/05/2024 à 20h58
Le 21/05/2024 à 12h57
Le 02/05/2024 à 20h19
On verra si l'essai se transforme :-)
Le 02/05/2024 à 15h44
Le 02/05/2024 à 14h48
Il existe un site où on peut choisir une entreprise (ou secteur) et avoir l'historique toutes les CVE/fuites/* ?
Le 30/11/2023 à 17h36
Le 03/11/2023 à 19h20
Donc les sites le voulant pourront bel-et-bien avertir leurs visiteurs (et les admins) :-) .
Les sites pourraient utiliser une popup du genre “La connexion avec ce site web n’est pas sûre. Accepter - Paramétrer”
Le 03/11/2023 à 17h14
Il n’y a pas un mécanisme “web” prévu pour qu’une entrée DNS confirme l’authenticité du certificat ?
Couplé avec ça (https://blog.imirhil.fr/2023/10/21/stealth-master-dnssec.html), ça devrait permettre aux sites web d’alerter leurs visiteurs non ?
Le 23/10/2023 à 08h47
Quand c’est la justice qui demande un test de paternité, ça passe par ce genre de société privée ? Ou tu ne parles que des tests décidés par soi-même ?
Le 18/10/2023 à 08h19
A propos de la refonte du site, est-ce que le Wordpress sera PWA ?
Je ne sais pas si beaucoup s’en servent, mais je trouve ça pratique sur téléphone.
Je ne sais pas non plus si c’est “juste” un manifest à mettre dans le ou si c’est plus complexe.
Le 17/10/2023 à 13h07
Ah ça c’est bien pour ceux qui ont un retard (permanent
) dans la lecture des articles ! 
Le 31/08/2023 à 14h17
On parle de certaines stations essence qui demandent, à l’abri des regards indiscrets, de saisir son code confidentiel sur des grands écrans tactiles verticaux ?
Le 30/08/2023 à 18h35
Triodos a le “même” problème ; il y a la méthode login/password, sans 2FA, et les méthodes où il faut installer l’app mobile, mais on peut toujours utiliser le login/password. Du coup, je trouve que c’est un faux sentiment de sécurité d’avoir l’auth via l’app, étant donné qu’il y a le login/password (dont tu oublies l’existence et la “force”) qui est toujours actif.
Le 06/07/2023 à 09h58
Merci !
Le 06/07/2023 à 09h46
Ça veut dire, qu’avant, si un français prenait un compte N26, son IBAN (ou RIB ?) commençait par autre chose que FR ?
Le 28/04/2023 à 09h43
Bah les chinois forkent le repo spacex/starship, et ils y font des ajouts. Ensuite, spacex n’aura plus qu’à merger les modifs qui l’intéresse. J’aime bien cet esprit coopératif entre deux pays que beaucoup de choses opposent
Le 21/03/2023 à 10h54
Fedora est basé sur ColdFusion, pour ça
.
Sinon, je n’avais pas suivi qu’ils avaient changé de logo (https://linuxfr.org/news/retrospective-de-l-adoption-du-nouveau-logo-de-fedora)
Le 07/03/2023 à 23h20
J’ai eu la blague ; mon téléphone est tombé et s’est cassé.
Le portail de l’opérateur ne permettait pas de télécharger une nouvelle eSIM, je devais me rendre sur place alors que j’étais très loin de chez moi.
Après avoir récupéré une photo du QR code original, je tente de l’installer sur le nouveau téléphone -> échec . Je dois bel-et-bien passé en boutique pour récupérer un nouveau QR code (alors que le premier contact avec le support m’avait dit que scanner le QR code initial suffirait).
Depuis, mon avis est partagé sur les eSIM.
Et on ne peut en effet activer que 2 profils (1 SIM + 1 eSIM ou 2 eSIM) en même temps. J’ai eu un échec lors de la troisième activation (ajout d’une eSIM a “1 SIM + 1 eSIM”)… je garde donc un autre téléphone physique à côté pour que ces trois numéros restent joignables, alors que j’avais changé de téléphone vers un compatible eSIM pour éviter ça :-| …
Le 25/01/2023 à 11h01
Tiens, question peut-être bête… Pourquoi, à l’époque, Trump n’a pas simplement créé une instance Mastodon ? Il aurait été libre de dire ce qu’il souhaite (vu qu’il est proprio de l’instance) dans un écosystème existant, et sans avoir de contrainte contractuelle.
…
Ça me semble tellement facile que je dois louper quelque chose
Le 11/12/2022 à 19h36
L’augmentation de l’abonnement ne me dérange pas, par contre, l’augmentation des articles me gêne ; je n’ai pas le temps de tout lire, et dois donc “sacrifier” certains article sous peine d’avoir des retards de plusieurs semaines !!! C’est donc gênant que vous fassiez du boulot qualificatif ET quantitatif ! (Vraiment, honteux au XXIe siècle !)
Le 26/08/2022 à 13h07
En effet :
YouTube (Science Étonnante sur le JWST)
Le 26/08/2022 à 10h04
Tiens, qui décide quelle sera la prochaine cible du téléscope ?
Parce que bon, j’imagine que c’est pas le stagiaire qui dit vouloir une photo de Jupiter pour mettre dans sa chambre… et qu’au contraire, il doit falloir pondre un dossier solide avant de donner ordre au téléscope de pointer vers quelque part.
Le 13/07/2022 à 13h06
Oh cool, ils m’ont attendu !
Le 22/02/2022 à 23h08
Attention que pour le Pixel 3, GrapheneOS est en legacy (https://grapheneos.org/releases), ça semble être une version d’août 2021 qui reçoit les updates sécu.
Deg (mais merci pour l’info)… je viens d’acheter un Pixel 3a d’occasion voyant qu’il était toujours maintenu :‘( … j’espère que GrapheneOS ou CalyxOS ne l’abandonneront pas tout de suite :-/ .
Le 15/02/2022 à 15h22
Et comparé à packagist ? Car bon, les “je balance mon projet du moment sur packagist/npm/* parce que je trouve ça fun”, il doit y en avoir des tas, et sur toutes les plateformes
.
Le 24/01/2022 à 19h42
Exact, pas bitwarden en auto-hébergé, mais vaultwarden (car je crois simplement que bitwarden n’est pas auto-hébergeable…)
Le 24/01/2022 à 19h22
Question toute bête, c’est pas “risqué” d’avoir ses mots de passe et ses clés “QR-code” MFA dans le même outil ?
J’utilise bitwarden en auto-hébergé mais ne veux pas y inclure mes MFA, bien que l’idée soit super tentante. Je les garde du coup sur FreeOTP+, qui fait très bien le job, mais des fois pour me m’identifier à un service, je dois me lever du canap et me rappeler où j’ai laissé mon GSM…
Le 14/01/2022 à 15h48
Merci pour la découverte
(et pour la productivité du vendredi aprem…)