Le 28/09/2023 à 00h 22

Merci, la présentation est assez complète effectivement.

Le 25/09/2023 à 15h 51

Merci pour ces précisions

Le 25/09/2023 à 10h 05

Au fur et à mesure des articles que je croise au sujet de la branche marine d’Orange, j’ai la nette impression qu’elle semble être la grosse réussite du groupe et ceci à travers une expertise qui n’est jamais remise en cause.
Elle vient de où cette compétence ? C’était déjà une composante de France Telecom ?

(quote:2154572:consommateurnumérique)
Longueur du navire : 100 mètres ! Les photos sur le site d’Orange sont impressionnantes.

Le nom provient de la mathématicienne Sophie Germain (1776-1831), si j’en crois Wikipedia.

Merci pour la bio de Sophie Germain, très intéressante.

Le 26/09/2023 à 18h 41

SebGF a dit:

Délai de conservation des données personnelles voyons ! :p

Ha ha très bel hommage !

Le 26/09/2023 à 09h 01

(quote:2154641:Kazer2.0)
C’est décentralisé et passe par Tor v3. La problématique entre deux personnes c’est qu’il faut que les deux soient connectée pour pouvoir discuter (vu que c’est en direct) donc pas de hors ligne.

De façon générale, je remarque que le compromis en terme de confort d’utilisation augmente avec le niveau d’exigence en terme de confidentialité, tout dépend de comment on souhaite positionner ces curseurs.

Pour certaines personnes la marche est déjà trop haute pour aller sur Signal notamment pour toute la partie sauvegarde et transfert des conversations qui il faut le reconnaître est plutôt rigide.
Rigidité qui découle de la volonté d’éviter au maximum la compromission des données lors de ce type d’opération versus les sauvegardes Whatsapp sur Google Drive non chiffrées par défaut.

En tous les cas je te remercie pour ces outils de communication que je ne connaissais pas.

Le 25/09/2023 à 09h 45

Petite info supplémentaire, si on s’en tient aux informations concernant la dernière version bêta (6.34.x), l’édition des messages est pour très bientôt.

monpci a dit:

sinon les paranos qui me lisent il y a ce projet qui semble intéressant https://simplex.chat/fr/

Purée ça monte encore d’un cran dans la quête de confidentialité des échanges, excellent merci pour l’info.

Le 26/09/2023 à 07h 52

Je me joins à ce concert d’éloges pour tout ce travail effectué qui a permis cette longévité précieuse et méritée de Next INpact en tant que journal indépendant, vraiment bravo.

Un grand merci et je vous souhaite le meilleur tant pour les projets personnels que professionnels.

Le 25/09/2023 à 10h 09

(quote:2154590:127.0.0.1)
Enfin. Les smartphones Android vont officiellement être les meilleurs webcam USB du marché.

Plus besoin d’appli/hack pour utiliser son smarphone comme webcam. Dans qq années, quand on trouvera des smartphones Android 14 d’occasion pour pas cher, ca ne vaudra plus la peine d’acheter les trucs de logitech.

J’ai toujours été déçu effectivement des webcams externes en générale ou bien celles intégrées dans les portables mais je me disais que sur le (très) haut de gamme Logitech (que je n’ai pas eu l’occasion de tester), ça doit le faire un minimum non ?

Le 20/09/2023 à 10h 22

Microsoft peut aussi potentiellement se faire plaisir avec Swiftkey sur les mobiles.
Il y a une option à décocher qui en théorie bloque cette transmission d’informations.

Le 19/09/2023 à 10h 00

(reply:2153597:consommateurnumérique)

C’est justement ce qui est débattu aujourd’hui lors d’une commission qui va examiner un projet de loi gouvernemental qualifié en gros de “régulation numérique”.
Il est justement question de faire entrer en jeu toute la mécanique “France Identité” encore en rodage actuellement pour procéder à du contrôle d’âge sur des sites pornographiques ou des réseaux sociaux.

C’est Marc Rees qui en parle sur l’Informé https://www.linforme.com/tech-telecom/article/interdiction-des-vpn-permis-cyber-controle-d-age-les-amendements-de-la-majorite-pour-reguler-le-numerique_985.html

L’article est cependant payant mais on peut trouver des extraits ici : https://www.jeuxvideo.com/forums/42-51-73043891-1-0-1-0-lrem-france-identite-pour-18-x-interdiction-des-vpn-coupure-internet.htm

Ce sujet n’est qu’une partie du projet de loi, Fred42 en a déjà parlé en commentaire dans un autre article du Brief au sujet d’une régulation des VPN.

Le 14/09/2023 à 19h 05

J’ai bien eu la maj de Firefox pour Android hier : la 117.0.1

Le 14/09/2023 à 18h 36

J’avais testé cette option, je trouve que ça pique un peu sur les plans larges d’une retransmission sportive mais sur du film ça passe, disons qu’il faut tolérer les artefacts de compression accentués sur les zones très sombres.

nextdrOp a dit:

C’est beau le progrès. Genre on va payer Netflix pour de la 4K et consommé en 720p

Le téléchargement au lieu du streaming peut éventuellement faire la différence sur du contenu lourd.

Le 12/09/2023 à 08h 50

Du côté Infomaniak, l’aspect le plus évident à mon sens est de proposer un client mail sur lequel ils ont une totale maîtrise et qui en même temps rassure la personne cliente en proposant un écosystème complet facilement identifiable (kDrive, kMeet etc.)

Dans le cas contraire, c’est envoyer les utilisatrices et les utilisateurs vers des solutions externes avec des schémas de configuration différents donc d’une complexité variable et potentiellement derrière, plus de SAV à assurer.

Par rapport à la comparaison avec K-9 mail, je ne trouve pas que ça s’applique ici car l’application ne concerne que les comptes Infomaniak (pas de compte tiers possible).

Et de manière générale, c’est toujours intéressant d’avoir le choix pour une même catégorie de logiciels. Personnellement j’ai adopté FairEmail depuis un bon moment mais je sais que les nombreuses options proposées par le soft rebutent certaines personnes devant une configuration en apparence complexe.

Le 08/09/2023 à 23h 00

Pas de problème je comprends tout à fait.
Simplement je me demandais si l’activation de la double authentification sur un compte Lastpass désactivait d’emblée la vérification automatique par email en cas de connexion depuis une machine inconnue.

En fouillant le centre d’aide de Lastpass, ça ne semble pas être le cas.
En revanche Lastpass propose la possibilité de désactiver l’envoi de l’email en question donc à voir si c’était le cas pour le compte du développeur en question.
Étant donné son haut niveau d’accréditation, son compte (de type entreprise sans doute) peut également faire partie d’un groupe avec des privilèges particuliers.

Concernant l’authentification MFA, on sait que cette dernière n’a pas été désactivée au regard du communiqué de LastPass.

The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault.

Donc tout ça avec un keylogger ce qui suppose que le deuxième facteur serait potentiellement un jeton de type TOTP, bref un code à saisir au clavier et non un périphérique d’authentification.
Ce qui est un comble quand on peut lire en ce moment même dans les pages d’aide Lastpass à propos de l’intérêt d’activer l’authentification multifacteur :

L’activation de cette fonctionnalité de sécurité aide à protéger votre compte des enregistreurs de frappe et d’autres menaces.

SebGF a dit:

Je ne sais pas si Bitwarden propose un cache offline.

Je confirme que je peux accéder à mon coffre Bitwarden même si le mobile est hors-ligne.

Le 08/09/2023 à 16h 47

VorkoSpigan a dit:

Un truc que je ne comprends pas : j’utilise LastPass, et à chaque fois que je change de machine, une confirmation par mail est demandée. Je pensais que la reconnaissance de la machine était basée sur TPM. Du coup cela veut dire que soit les personnes concernées n’ont pas réagi lorsqu’elle ont reçu le mail indiquant un accès via une autre machine, soit les pirates on contourné TPM, ce qui veut dire que TPM n’est aussi fiable qu’indiqué ?

greenchris a dit:

C’est moi, ou personne n’a répondu à sa question ?

Perso je n’utilise pas Lastpass donc difficile d’avoir une réponse directe.
Question à VorkiSpigan, est ce que tu as activé la double authentification sur ton compte Lastpass ?

Le 08/09/2023 à 16h 40

pierreonthenet a dit:

Est-ce que ça veut dire que ce développeur avait accès aux coffres forts en clair ? Car sinon, mis à part un problème de sécurité interne à LastPass, j’ai l’impression que ça serait le même problème si Bitwarden se faisait voler ses serveurs, non ?

Non pas vraiment car à ce stade, on ne sait pas exactement comment les clés de sécurité des portefeuilles crypto ont été obtenues.

Est ce que l’attaquant a réussi à déchiffrer des coffres dérobés ?
C’est une possibilité en cas de mot de passe trop faible basé sur des données personnelles sachant que l’intrusion a permis aussi de dérober des données personnelles de clients.

Est ce que ces clés de sécurités font partie des données non-chiffrées dérobées ?
L’article mentionne les URL mais ce n’est qu’un type de données parmi un ensemble et on ne connaît pas la nature du reste.

On peut souligner que chez Bitwarden que l’ensemble des données contenues dans un coffre est chiffrée (donc les URL aussi).
Et que le nombre d’itérations a été porté à 600 000 en début d’année (contre 200 000 auparavant) ce qui renforce la protection contre les attaques par force brute.
Le problème est que ça concerne uniquement les nouveaux comptes donc à chacun de faire cette modification manuellement.

Mais bien entendu Bitwarden comme Lastpass n’est pas à l’abri d’un choix à l’origine d’une faille permettant un accès malveillant car il y a toujours le facteur humain qui entre en ligne de compte. Raison pour laquelle sans doute ils se font auditer chaque année, tout le monde peut consulter ces rapports et constater que les recommandations ne sont pas toujours suivies (voir dernier paragraphe de la section) à mettre en relation la dernière section du rapport d’audit de 2018 intitulée “BWN-01-009 Crypto: PBKDF2 iteration count configuration unnecessary” page 14.

Le 08/09/2023 à 12h 37

A ce sujet, NextInpact avait proposé un dossier vieux de quelques années maintenant mais qui demeure pertinent.
https://www.nextinpact.com/article/27037/104960-cryptomator-outil-multiplateforme-pour-chiffrer-vos-donnees-stockees-dans-cloud

En revanche la tarification des versions mobiles a évolué depuis. La version Android est devenue payante (soit par Google Play, soit par licence si F-Droid ou autre) et le tarif est passé à 14,99 € que ce soit sur Android ou iOS.
Rien de rédhibitoire en soi mais juste une précision importante.

edit : quelques petites fautes qui traînaient.

Le 08/09/2023 à 12h 05

Si on parle d’une attaque par force brute sur un coffre-fort et au regard des mécanismes de chiffrement adoptés par Bitwarden, cela prendrait un temps considérable même pour un supercalculateur. Je te dis ça en me basant sur différentes lectures à ce sujet qui sont plutôt unanimes à ce sujet.

Après il faut rappeler que ce n’est pas le cas de figure concernant l’affaire Lastpass, on parle d’un vol de données via le piratage d’une machine utilisée par un développeur ayant un niveau d’accréditation élevée sur des accès stockage extrêmement sensibles. Piratage ayant consisté à capter les identifiants du développeur en question ayant permis de déchiffrer son coffre-fort. Coffre-fort qui contenait lui-même les moyens d’accès à ces zones sensibles.

Le 08/09/2023 à 09h 55

pierreonthenet a dit:

Maintenant, est-ce que je m’expose aux même risques que sur LastPass en allant sur Bitwarden, ou est-ce que c’est LastPass qui s’est loupé ? Là est la question selon moi.

l’article commence par ceci :

la sécurité n’était pas au niveau que l’on s’attend à avoir d’un gestionnaire de mots de passe, d’autant plus quand on considère l’extrême sensibilité des données hébergées par le service.

Ca reste une opinion personnelle mais le fait que Bitwarden fonctionne en code ouvert permet d’éviter potentiellement ce type de situation et que les garanties annoncées en terme de sécurité peuvent être vérifiées librement par des personnes en capacité de le faire.

Un autre point de comparaison non négligeable à mon sens, ce sont les audits de sécurité du code proposés sur le site de Bitwarden, ces audits détaillent les failles détectées et les propositions de résolution par l’organisme à l’origine de l’audit.
Chose qu’on ne retrouve absolument pas chez Lastpass, du fait j’imagine que le code source soit fermé. La page dédiée chez Lastpass ne se contente que de lister les certificats de conformité.

Alors certes tout ne tourne pas autour du code, toute l’infrastructure qui héberge la solution est aussi partie prenante.
On peut aussi faire le choix de l’auto-hébergement, pour ma part nous sommes quelques amis à le faire sur un dédié qu’on se partage en s’appuyant sur Yunohost.

Le 04/09/2023 à 13h 38

Je me permets d’émettre des réserves sur cette suggestion au regard des failles de sécurité non corrigées dans cette version, à la limite sur une machine hors ligne.

Dans ce cadre d’utilisation, LibreOffice peut faire l’affaire également il me semble ?

Le 02/09/2023 à 20h 03

La grosse claque pour cette série de rentrée bravo et merci

Le 01/09/2023 à 08h 39

Merci pour ces précisions

La démonstration proposée sur le lien Shaarli est effectivement très intéressante.

Le 31/08/2023 à 08h 44

bilbonsacquet a dit:

Il faudra aussi qu’il comprenne que leur put* de clavier virtuel est contreproductif concernant la sécurité des mots de passe et qu’ils feraient mieux d’autoriser l’authentification via un coffre fort de mot de passe. Et que l’on puisse avoir une double authentification forte via jeton ou via une clef matérielle (et pas via un SMS ou leur appli…)

Peux tu détailler la faiblesse (ou les) que représente ce système de clavier virtuel stp ?

Le 16/08/2023 à 08h 27

Hasard ou pas, les clients alternatifs sont de nouveau dans les choux au même moment.

Le 19/07/2023 à 08h 13

Pour info, le dépôt Github est ici : https://github.com/facebookresearch/llama

Le 19/07/2023 à 08h 09

(reply:2143438:NiDé)

C’est une mesure d’astreinte qui implique une amende 90.000 euros pour chaque jour qui ne respecte pas l’interdiction au delà du 04 août. A ce petit jeu là, ça peut quand même vite chiffrer.

Le 12/07/2023 à 21h 59

Il existe une application libre et gratuite pour Android nommée AirGuard.
C’est un projet qui émane de l’Université de technologie de Darmstadt (Allemagne) et qui propose la détection de plusieurs modèles de traceurs dont les AirTags et SmartTags.

https://github.com/seemoo-lab/AirGuard

Le 07/07/2023 à 21h 47

Merci pour vos réponses respectives 👍

Je vais potasser tout ça

Le 06/07/2023 à 04h 17

Furanku a dit:

Depuis je suis chez Infomaniak dont je suis très satisfait. Avec le catchall et quelques filtres Sieve j’ai pu arriver à avoir ce que je voulais (alias, tri, etc) :)

Est-ce que tu peux en dire plus stp sur ta configuration catch-all + filtres ?
C’est une possibilité qui m’intéresse mais comme d’autres personnes le signalent ici, il faut pouvoir contrer le spam potentiel.

bansan a dit:

Après un ajout manuel, mon catchall fonctionne très bien.

Je me permets de te poser la même question, merci !

Le 07/07/2023 à 21h 45

A priori, ca part surtout d’une prise en charge d’exFAT sous Mac OS assez médiocre.
J’ai le souvenir d’avoir vu pas mal de cas similaires lors de recherches.
Je vois qu’il y a toujours des remontées relativement récentes à ce sujet : https://gist.github.com/scottopell/595717f0f77ef670f75498bd01f8cab1

Certes il y a l’outil fsck_exfat qui permet de résoudre certains cas de figure. Perso j’étais dans celui avec le secteur de boot principal et auxiliaire tous deux corrompus. Et là c’est cuit, Testdisk non plus n’a pas fait de miracle.

Bref je suis d’accord avec ta conclusion, à utiliser uniquement pour des données dispensables soit parce qu’elles sont dupliquées ailleurs ou retrouvables facilement.

Le 06/07/2023 à 13h 12

Perso, j’ai abandonné l’exFAT sur disque dur externe depuis une mauvaise expérience il y a 10 ans qui a aboutit à de la perte de données.
C’était aussi pour avoir un disque compatible Mac/PC à l’époque et pareil avec quelques bizzareries très ponctuelles quand le disque passait de l’un à l’autre mais je n’ai pas été assez attentifs à ces signes.

Par la suite je me suis tourner vers l’achat d’un logiciel pour monter des disques NTFS sur Mac qui m’a donné satisfaction (en revanche la même solution pour faire du HFS+ sur Windows est à oublier)

Le 03/07/2023 à 09h 57

yl a dit:

émeutes actuelles avoir qq infos en temps réel peut être utile)

Nitter m’a servi aussi dans ce contexte, c’était utile d’avoir des informations sur la situation en quasi temps réel de mon secteur.
Quand les problèmes sont apparus sur Nitter samedi, il a fallu effectivement passer par un compte.

Le 22/06/2023 à 10h 15

A partir du moment où tu te retrouves avec un service/produit dans ta commande que tu n’as ni recherché ni désiré, c’est un problème.

Le 21/06/2023 à 08h 49

On dira que c’est un début mais il manque dans l’équation des conceptions plus souples pour atteindre un certain degré de réparabilité.
Quand on regarde certains tutos détaillés, le risque de casse reste encore élevé en cours d’opération.

La première étape serait de permettre une dépose plus simple de l’écran et de la batterie qui sont à mon humble avis les deux éléments le plus susceptible d’être remplacés.

Reste à voir les prix des pièces d’origine qui n’apparaissent pas encore dans la boutique européenne d’iFixit. Sur la boutique américaine, l’ensemble officiel batterie + écran pour S21 est à 160 $, on peut espérer combien chez nous, 200 € ?
Si c’est le cas, c’est pas mal pour un téléphone actuellement vendu entre 300 et 400 euros sur le marché de l’occasion.

Le 21/06/2023 à 08h 15

Erwan123 a dit:

Mouais, pas super épaisse la protection contre les amis trop curieux qui vont surfer sur internet “juste 2min promis pour checker mes mails” avec l’ordi d’un pote et vont aller jeter un coup d’œil par curiosité ou… plus..

Si tu as une machine susceptible d’être partagée avec des invités, tu peux éventuellement créer une session limitée en droits prévue à cet effet.

Le 20/06/2023 à 21h 03

Pour avoir déjà consulté les écrits de Mozilla à ce sujet, Firefox chiffre d’emblée localement les mots de passe. Dans le cas de Sync, les données circulent de manière chiffrées donc Mozilla n’a pas la possibilité de lire ces informations stockées sur leur serveur.

Concernant le mot de passe maître, il a une autre utilité peut être moins connue mais il ajoute une couche de sécurité supplémentaire au niveau du chiffrement.

Concrètement sans mot de passe maître, il est très facile de récupérer les mots de passe d’un profil pour les intégrer dans un autre, il suffit juste de déplacer la base de données des mots de passe et la clé, autrement dit deux fichiers.
Si le mot de passe maître est activé, il devient une composante de la clé de chiffrement et la récupération des données sera impossible sans ce mot de passe.

Le 20/06/2023 à 14h 44

QTrEIX a dit:

Le mot de passe maître dans Firefox n’est utile que si tu partages ton navigateur avec quelqu’un, il ne fourni aucun protection supplémentaire côté serveur.

Le fait que les mots de passe sous Firefox soient chiffrés d’emblée me semblent déjà une bonne protection côté serveur (si Sync est activé bien entendu) ou alors tu penses à autre chose ?

Le 19/06/2023 à 10h 11

serpolet a dit:

Atari sort une nouvelle cartouche de jeu pour sa console vieille de 42 ans (20mn, 19/06/23) !

En espérant qu’ils aient la décence cette fois-ci de trier le plastique et le carton en déchèterie

Le 18/06/2023 à 18h 52

Super cette proposition qui à la fois résume avec une certaine légèreté les échanges qu’on a pu lire récemment et qui aussi permet de prendre du recul avec cette lecture au second degré.

Mention spéciale au trollface gaulois impliqué dans la scène de bagarre générale, amenant cette dose d’acidité qui fait régulierement mouche chaque semaine.

Et bien sur soutien à toute l’équipe !

Le 24/05/2023 à 06h 30

Pour info, la même fonctionnalité est dans les tuyaux sur Signal, actuellement au stade expérimentale et donc cachée.

Le 04/05/2023 à 14h 50

En effet ce n’est pas un comportement natif, j’avais paramétré le téléphone pour passer dans certaines conditions en mode “Ultra éco” car le principe m’intéressait mais avec cette histoire d’applications par défaut et donc de Chrome qui se réactivait de lui-même, j’ai vite abandonné.

Et merci pour la précision sur Android Auto, je n’en étais pas du tout certain effectivement.

Le 04/05/2023 à 14h 41

J’ai eu le cas de Chrome qui se réactive sans intervention directe de ma part sur du Samsung (non rooté).
Précisément c’était quand le téléphone passait en mode d’économie d’énergie dans le mode plus avancé, c’est à dire quand le téléphone ne propose entre autres qu’un nombre très limité d’applications accessibles. Mode qui ne laisse pas la possibilité de laisser la possibilité de choisir son navigateur ou son appli de SMS donc par conséquent : réactivation automatique de ces applications Google”inévitables”.

Et je suis moins sûr mais il me semble que j’ai eu le cas lors d’une utilisation avec Android Auto mais faudrait que je reteste à l’occasion car je n’ai pas cet équipement sur ma voiture.

Le 21/03/2023 à 19h 13

Ajoute à cela des sites officiels de municipalités qui redirigent vers d’autres sites déguisés en services publics.

https://linuxfr.org/users/ysabeau/journaux/j-m-ai-fait-eue

Le 16/03/2023 à 18h 32

(reply:2124642:Zone démilitarisée)

Merci pour les précisions

Le 16/03/2023 à 13h 20

J’ai relu plusieurs fois l’article mais je n’ai pas saisi le mécanisme de contournement opéré.

Celle-ci se situe dans SmartScreen, composant important de la sécurité dans Windows et qui s’interpose entre un programme demandant à être exécuté et l’utilisateur.

Donc ça ok, je vois très bien ce qu’est SmartScreen

Face à la signature, SmartScreen renvoie une erreur, aboutissant au contournement de la défense par l’exécutable, ce dernier perdant alors sa Mark-of-the-Web (MotW), qui indique normalement qu’il vient du web.

C’est ici que je décroche : SmartScreen renvoie une erreur donc contournement du mécanisme de sécurité. (censé empêcher l’exécution du fichier MSI j’imagine)

Le 14/03/2023 à 11h 41

Je comprends le propos, cependant si on s’en tient aux définitions je dirais que ce n’est pas la principe de religion qu’il faut remettre en cause mais le dogme.

Le 13/03/2023 à 13h 02

C’est toujours le cas, en 1 vs 1 il faut basculer sur le mode “conversation secrète” et pas de chiffrement de bout en bout pour les conversations de groupe et la version bureau de l’appli.

Le 09/03/2023 à 16h 47

wanou a dit:

Et encore de nouveaux sdk qui vont forcer les dev à tout réapprendre sinon, couic l’app sur le playstore.

Je ne suis pas dev mais j’ai pris connaissance récemment des péripéties rencontrées par le dev de Fairemail qui a vu son app disparaitre une paire de fois du Play Store.
Purée je comprends pourquoi maintenant il montre des signes forts de découragement, c’est vraiment sans pitié.

Le 09/02/2023 à 09h 56

Merci, je n’avais pas eu connaissance effectivement d’une version 2 du protocole BitTorrent dont le principal changement est le remplacement de SHA-1 par SHA-256 pour le hachage.

Un billet assez complet ici qui mentionne également les torrents hybrides : https://blog.libtorrent.org/2020/09/bittorrent-v2/

Le 09/02/2023 à 09h 38

que des torrents hybrides.

En quoi consistent les torrents hybrides svp ?