votre avatar Abonné

xlp

est avec nous depuis le 1 décembre 2014 ❤️

612 commentaires

Le 15/02/2024 à 17h 03

Les autres freebox ont des ventilos ? Bon il a pas l'air minuscule, mais j'ai une dent contre les ventilos, surtout petits, rapides...

Le 15/02/2024 à 13h 46

Non, l'UEFI permet d'installer des pilotes. Je me demande si on peux lui faire installer un seudo-pilote qui prendrait en charge les interruptions pour instructions inconnues.

Dis comme ça ça paraît possible. Sauf que l'OS va en général mettre son handler sur l'interruption. Donc à moins qu'il décide de transmettre au handler précédent, je doute que ça marche. Mais sinon oui, c'était à peu près la méthode utilisée pour faire de la virtualisation avant l'apparition du support hardware.

Le 14/02/2024 à 14h 17

Il me semble qu'on peut ajouter des choses dans l'UEFI - mais ces machines n'avaient souvent pas d'UEFI ou un UEFI très limité.
Emuler une instruction est parfaitement faisable, le x86 est bien prévu pour ça.

Tu veux dire en changeant le micro code du CPU ? Je ne suis pas au courant de personnes qui fassent ça (hors constructeur)... Si tu sais y arriver, il y a des choses très rigolotes à faire (un peu pareil qu'arriver à faire tourner du code en SMM)

Le 14/02/2024 à 14h 14

Ahhh je me disais que ça m'était familier :D
J'ai été étonné à l'époque de voir que ça n'existait pas (je ciblais ARM)

Le 15/02/2024 à 13h 41

Pour 1., il "suffit" d'avoir un bon NDA (y'a pas que eux sur le marché). Et puis sinon les big pharma, c'est des boîtes financières. Combien de personnes savent qui fabrique tel médicament ? (Surtout en France où c'est souvent gratuit)
Ensuite ils ont quantité de filiale, souvent à cause de rachats (les gros ne font plus trop de recherche, ils font de l'achat de petits qui ont fait une découverte intéressante). Donc quantité de nom à écrire sur la boîte.

Le 14/02/2024 à 14h 08

Aller se mettre sur une interface DDR sans la perturber, bon courage. Quand on voit la tétrachiée de calibrations désormais nécessaires pour que cela fonctionne...

Il serait beaucoup plus simple de mettre la machine suspend to ram, ce qui mets la DDR en self refresh (permettant de "tenir" plus longtemps durant une phase de réinit, pendant laquelle le contrôleur mémoire ne fera pas ce refresh, cf la suite), pour l'extraire (si elle n'est pas soudée bien sûr!) et la mettre sur un lecteur spécialisé (si on fait vite, même pas forcément utile de maintenir une alimentation) avec un code d'init DDR qui permets un mode de démarrage conservant le contenu (couramment utilisé dans l'embarqué car on a en général une partie du mapping mémoire réservé à un "flight recorder" permettant les analyses post-mortem si on n'a pas pu logger sur le stockage avant un crash).

Bon, c'est pas neuf et je ne sais pas si cela fonctionnerait encore sur des générations de DDR actuelles... mais dans la première moitié de la décennie 2000 j'avais du code de démarrage qui, en développement (une variable d'environnement du boot-loader autorisait ce hack totalement hors spec constructeur mais qui, expérimentalement, fonctionnait!), tentait vraiment tout pour préserver le contenu de la DDR (dont zone de "flight recorder") y compris sur des démarrages à froid ou ce n'était pas censé être faisable (car les alimentations tombent pendant 1 ou 2 secondes, dont celle de la DDR et même en self-refresh elle en a besoin): Cela permettait de débugger en post-mortem des cas de watchdog ou on n'avait sans cela aucune bille par exemple.

La zone était classiquement constituée d'un header avec un magic number initialisé après sa mise en place pour signifier qu'elle était lisible et des zones checksummées validant les contenus.

Quand ce mode de reboot a froid de développement/labo était actif, si le magic nb était trouvé on faisait une réinit DDR partielle puis vérifiait au boot la validité des zones avec les checksum et s'il y en avait un pas bon on signalait les zones avec des données crouillées (mais avec peut-être encore des trucs exploitables! Une bonne partie étant du texte, un caractère mauvais par ci par là n'est pas si emmerdant).

Un jour, un appel de l'usine pour explication car un opérateur de banc de test consciencieux avait remarqué un message inhabituel même si tous ses tests passaient...

L'occasion de se rendre compte que le truc était activé car un environnement par défaut mal ficelé s'était retrouvé à l'usine... et surtout que ce contenu de la DDR était l'immense majorité du temps conservé pendant des dizaines de secondes sans alimentation!

En effet, l'affaire se déclarait sur un banc de test module succédant à un test carte ou elle était démarré la première fois après flashage: Entre les deux, retrait du lit à clous du banc carte, assemblage du sandwich dans la mécanique puis ensemble pluggé dans le banc module voisin.

De l'ordre de la minute entre le shutdown sur banc carte et le redémarrage sur le banc module... et un contenu DDR encore exploitable!

Dans le genre y'a l'azote liquide ou autre refroidissement. Sauf erreur de ma part la majeure partie de la RAM survit à un reboot, d'où le fait qu'il faille verrouiller la séquence de boots, sinon reboot sous un OS minimaliste qui laisse la RAM autant intacte que possible.
L' attaque est connue sous le nom de "Cold boot attack".

Y'a aussi les attaques par DMA, en principe mitigée avec IOMMU.

Et autant faire du wiretap sur du I2C (en plus souvent sur un module enfichable avec un connecteur IDC) ça me semble simple (d'ailleurs le jour où je me suis intéressé au sujet, j'ai juste cherché ça comme attaque, et j'ai trouvé de suite un beau papier avec les copies d'écran de l'analyseur logique), autant oui... Sur de la DDR.... Disons que je n'ai pas passé 1 minute sur le sujet ;)

Sinon pour ce que tu faisais dans les années 2000, je le fais aujourd'hui sur des petits ARM. Pas forcément complètement dans le même but, ça m'intéresse de préserver des infos, et pareil, y'a du checksum avec pour s' assurer que ça s'est bien passé. Bon ils n'ont pas de DDR ;)

Le 09/02/2024 à 13h 58

Sinon, une fois la liaison chiffrée, reste aussi à chiffrer la mémoire (et la liaison avec la mémoire). Mes machines ont des fTPMs, je me suis souvent interrogé sur la difficulté de faire un "module RAM de wiretapping". (En principe résolu sur les quelques CPU qui disposent du chiffrage de la RAM activé dans le BIOS au démarrage)

A noter aussi que tout semble se concentrer sur BitLocker, le problème est le même avec LUKS + TPM.

Pour le moment, chiffrer une machine qui puisse booter indépendamment reste un compliqué. Le déverrouillage sans mot de passe était vu comme un moyen de décourager l'attaquant, pas une protection contre un attaquant motivé.

Le 09/02/2024 à 13h 50

De mémoire (vieilles recherches sur les potentielles solution à ce problème) il est prévu de chiffrer les transmissions sur le bus LPC (de mémoire un bus I2C). Mais ça n'est pas fait.
(Comment ? Je ne sais plus, mais bon, pourquoi pas la même chose que TLS avec le loader qui vérifie le certificat... Tant que cette partie est couverte par Secure boot, pas de problème).

Pour ceux intéressés il y avait de dispo une présentation sur le cassage (assez simple) de la chose, avec un analyseur logique (capture des trames I2C, décodage... Ce que fait ce "YouTubeur" aussi je suppose, à part qu'il utilise un pico pi).

Le 09/02/2024 à 16h 16

https://en.m.wikipedia.org/wiki/Microsoft_POSIX_subsystem

Le 07/02/2024 à 16h 47

Je crois que tu as mis le doigt sur un grand progrès que va pouvoir permettre de réaliser l'IA : peupler les métavers vides.
Est-ce que ça fera venir des gens ? Je ne sais pas.

Le 01/02/2024 à 06h 02

Ces sujets semblent des arguments de poids pour les attirer. Je ne saurais les classer par gravité tant le 2ème y semble lié dans leur esprit.

Le 31/01/2024 à 16h 18

Dès qu'on m'appelle et qu'on veut que je donne des informations, la réponse est la même : je vous rappelle. Sur le numéro officiel.
Facile de changer le numéro présenté (suffit d'avoir un opérateur qui l'autorise et que l'opérateur à l'autre bout accepte, de ce côté là j'avais un opérateur qui me proposait de systematiquement "démasquer" les appels masqués).
Beaucoup plus compliqué de détourner le standard national d'une grande banque.

Le 29/01/2024 à 17h 14

Oui (et non), uMatrix contrôle les autorisations par domaine, sous-domaine ou au global (et aussi par TLD, mais je ne vois pas trop l'intérêt 😅).
C'est possible par exemple d'autoriser challenges.cloudflare.com sur l'ensemble des sites, si on ne veut pas s'embêter à chaque fois.

Tiens je ne savais même pas. C'est vrai que ça pourrait être pratique (tu as en plus donné le bon exemple :D)

Le 26/01/2024 à 18h 27

Pareil pour moi (j'utilise uMatrix). C'est galère quand on visite un site pour la première fois, notamment lors d'un paiement, mais après ça roule (il y a plus de domaines interdits qu'acceptés !). Les quelques secondes de perdues au débat valent le coût / coup !

A moins que ça n'ait changé uMatrix contrôle les autorisations par site, alors que NoScript contrôle juste "par source". Avec uMatrix on peut n'autorise le JS de Google que sur Google par exemple.

Le 24/01/2024 à 17h 40

Avec un outils adapter tu peux ne transférer que ce qui a changé. Pas de nom à te donner (mmm borg?)

Le 22/01/2024 à 18h 59

Moui. Mon frère avait un stagiaire de DUT qui recopiant tel quel des corps fonctions de solutions trouvées sur SO. Ensuite il ne comprenait pas d'où venait les erreurs (typiquement, les paramètres de la fonctions n'étant pas recopiés ils devenaient des symboles non définis).
C'était il y a plusieurs années, depuis un ami en a conclu que les meilleures IA faisaient mieux que les pires développeurs ;)

Le 19/01/2024 à 16h 21

Je crois que le soucis pour les lasers c'est que pour qu'ils envoient 2 MJ, on dépense beaucoup plus que 2 MJ.... Donc s'ils avaient un rendement de 1:1 ça serait impec, mais ce n'est pas le cas.

Le 19/01/2024 à 16h 12

Peu importe que les pistes passent entre les pattes, y'a pas de pad. Vu le format, peu de chance qu'il y ait des pads en dessous, j'en conclus donc que les puces sont très certainement... posées. Elles sont là pour faire beau... ah ben ça tombe bien.

Le 18/01/2024 à 16h 37

Le caissier peut avertir le vigile s'il a un doute.
La caisse auto, je ne crois pas (en tout cas pas encore 😅).

La caisse auto avec IA peut avertir le vigile.
Pour le moment elle me dit "oh tu aurais pas oublier quelques articles ?", et quelqu'un vient vérifier... La question que je me pose est : est-ce que la validation que j'ai rien oublié sert à entraîner l'IA. Parce que je passe avec un caddy plein d'articles, dont je scanne juste la moitié....

Le 18/01/2024 à 16h 22

Il manque un oeil.

Le 10/01/2024 à 07h 36

Bah ça change de si c'est gratuit, c'est toi le produit ! Tu es même payé maintenant, pour quelque chose dont je ne suis pas sûr qu'il t'appartienne............

"1 an d'abonnement à Facebook sans pub contre le visage de votre enfant"

Le 10/01/2024 à 07h 32

Je suis assez d'accord avec fred42, mais tu n'as pas forcément tort non plus (les images vont-elles être détournées de l'usage annoncé ?).

Ceci dit je veux rebondir sur ton propos et en particulier "Ah, oui, c’est sûr que ce détail (qui peut changer)".

Après la 2nd guerre mondiale, la France a mis en place des restrictions pour limliter la casse au cas où le régime changerait à nouveau pour repartir du côté de Vichy... Je suis tout à fait pour. Mais j'ai l'impression que c'est maintenant suffisament vieux pour que même en France, ça comme à s'oublier...

Exemple, mes cours de base de données en école d'ing :
"Prof : Aujourdh'ui nous allons prendre comme exemple de base de données une base d'employées. Donc comme clé primaire, nous allons utiliser le numéro de sécu puisqu'il est unique pour chaque personne...
Moi : Excusez-moi... ce n'est pas légal !
Prof : Ah bon ?!"
(A sa décharge, dans les cours suivants il a arrêté l'usage du numéro de sécu (tout court je crois), mais avec le commentaire "on ne va pas utiliser le numéro de sécu pour faire plaisir à M. --insérer mon nom ici--")

Le 07/01/2024 à 16h 30

Donc si je trouve une faille que je veux pouvoir exploiter longtemps, je spamme le bug bounty autant que possible avec de rapports générés par IA ?

Le 07/01/2024 à 16h 25

La proximité c'est aussi pratique pour TEMPEST.

Le 24/12/2023 à 09h 16

Dans tous les cas, valider les CGU ne vaut pas consentement de la part de tous les gens qui pourraient être à portée.

Aux USA je sais que la loi varie par état, en France j'ai un gros gros doute vis à vis du respect de la vie privée (régime : toutes les parties doivent être informées et d'accord)

Le 24/12/2023 à 09h 12

Il y a quelques téléphones avec un bouton matériel pour désactiver le micro.
Il y a longtemps, je mettais un Jack dans la prise micro de mes pc portable, à cette époque, l'insertion déplaçait une patte dans le Jack femelle et coupait le micro (un seul ADC).

Depuis, on est passé en software. La désactivation ou non est gérée par logiciel, donc aucune certitude.

Le 24/12/2023 à 09h 10

Sous iOS il existe un tel indicateur d’utilisation du microphone ou de la caméra : support.apple.com Apple
Il faudrait que ça soit systématisé sur tous les systèmes

Y'en a un sur Android aussi. Logiciel.

Le 24/12/2023 à 09h 07

Le contrôle d'accès est un concept cyber aussi fondamental que la cryptographie et c'est mon domaine de recherche donc je peux répondre :)

Dans les grandes lignes, Android s'appuyant sur Linux bénéficie donc des modèles de contrôle standard de ce dernier dont SELinux. À ma connaissance et sauf exception, c'est ce dernier qui est utilisé par la plupart des distributions Android.

Il s'agit d'un modèle de type Type Enforcement (TE) utilisé de façon obligatoire (MAC) donc du quasi top en terme de garantie de sécurité. Il souffre néanmoins de trois limitations :
1/ les politiques de contrôle sont fastidieuses et complexes à écrire donc source d'erreurs ;
2/ le contrôle se fait exclusivement sur les accès directs, il est donc possible de contourner SELinux via un flux indirect
3/ SELinux - comme d'autres - est dans l'incapacité absolue de contrôler ce qui se passe à l'intérieur d'une application/processus

Sur ce dernier point, un autre modèle de contrôle d'accès prends le relais : les Capabilities.

Les applications s'exécutent dans une machine virtuelle dont l'hyperviseur se nomme Dalvik. Enfin ... ART sur les versions récentes d'Android mais c'est une autre histoire. Pour faire simple, les spécifications d'Android définissent un ensemble de permission nécessaire pour appeler des APIs précises de la machine virtuelle. Les applications possédant l'une de ces permissions est ainsi en capacité d'appeler les APIs, d'où le nom de ce modèle. Typiquement, c'est ce qu'il se passe lorsqu'une application te demande de pouvoir accéder à tes contacts, passer des appels, etc... Sans rentrer dans les détails mathématiques, c'est du très robuste mais tricky à implémenter correctement. La majorité des vulnérabilités ayant affecté Java, Dalvik, ART, ou encore .Net sont relatives à cette difficulté.

Donc pour résumer : oui c'est contournable mais il faut s'accrocher pour y arriver :)

Merci pour ta réponse. Je suis friand de plus de détails (exemple typique sous Windows, pour contourner les permissions firewall d'un processus, il "suffit" d'injecter son code dans un autre processus, quand je dis "il suffit", je comprends bien que ce n'est pas à la portée du débutant, mais ça reste assez facile)

Le 22/12/2023 à 18h 05

Oui je me dis que le jour où j'aurais une smart tv (en gros parce que y'aura pas d'autre option ou que ça sera significativement moins cher), elle servira juste d'écran. Je préfère mettre un média player sans camera/micro.

Le 22/12/2023 à 18h 04

Il reste souvent le bluetooth non désactivable car télécommande bluetooth avec micro. :/

ALors certes derrière ce n'est connecté à rien, mais quelqu'un de proche peut utiliser la faille du bluetooth. :(

Tout ce monde moderne connecté c'est une plaie.

Et on peut rajouter toutes les voitures modernes et connectées. (cf l'étude de mozilla)

Pour le micro il y a le fer à souder, la perceuse...
Et au cas où, lis mon post plus haut, je ne plaisante pas. J'étudie l'achat d'une Shield, mais comme elle sera connectée au réseau, le micro devra obligatoirement sauter.

Les voitures ça fait peur, j'ai regardé, Toyota propose de tout désactiver. Ok, comment ? Une option acceptable c'est couper l'alimentation, par exemple du module radio. Y'a plein de façons pas top de désactiver.

Le 22/12/2023 à 18h 01

"Autoriser sur la base d'une permission" ne signifie pas "autoriser sur la base d'un usage légitime". Typiquement, tu peux donner la permission à une application d'accéder à tes contacts mais ne sachant pas ce qu'il en fera...

Oui bien sûr. Mais à part les messageries, pas d'accès à mes contacts. Et audio "pendant que l'appli tourne" pour les messageries.

Mais il faut plutôt prendre ma question dans le sens "je me trompe ? Y'a moyen de contourner ?"

Le 22/12/2023 à 08h 30

Sur les smartphones en principe il faut donner la permission non ?
Pour le reste... Aie.
J'achète autant que possible des choses sans micro ou caméra. J'ai pris une "air mouse" (souris-gyro) j'ai cru qu'il y avait un micro dedans quand je l'ai reçue. Ouverte, non, rien, sinon ça aurait été le fer à souder...

Le 14/12/2023 à 17h 31

Supposition : ça a permis de le localiser. On ne cherche pas le gars en permanence mais quand il dit qu'il vient de faire un marathon à Paris on est plus vigilant ? Ou on prédit vu son historique qu'il va vouloir faire un marathon à Paris.

Le 29/11/2023 à 16h 53

Tu parles de ce genre de chiffre ?
https://mobile-img.lpcdn.ca/v2/924x/67955be0cdcd340d8bcb490fba5e8157.png

On peut constater que c'est les pays les moins vaccinés qui ont le plus de surmortalité (en supposant que ton poste est une tentative de référence à ça).

Notamment, la chute d'espérance de vie est particulièrement violente aux US.

Par ailleurs, oui ces dernières années il y a beaucoup de surmortalité des jeunes liés à des problèmes psychologiques (drogue, suicide, violence etc), ce n'est pas les cabinets de conseils qui inventent ça pour du "damage control" (la conspiration va loin).

Tu as une source ? J'aimerais savoir sur quoi se base le "attendu".

Le 29/11/2023 à 12h 56

Un burner phone, tu ne le jettes pas forcément à la poubelle après usage. Il peut resservir, mais sans être traçable.

Tu peux, ça dépend de ce dont tu cherches à te protéger. Plus tu l'utiliseras plus il sera facile de le lier (IMEI) à toi.

Le 29/11/2023 à 12h 54

Je pense que l'important est d'empêcher de relier le téléphone à la personne. Y compris si possible sur place.

Dans ton cas on suppose que l'Etat ne cherche pas vraiment à savoir qui tu es.

Le 28/11/2023 à 09h 55

Si je te suis c'est plus facile d'obtenir l'AAH en étant pas handicapé qu'en l'étant ? (Demande sincère)

Le 28/11/2023 à 09h 46

Ces services en ligne vendent de la facilité, mais on se retrouve quand même à devoir faire du 3-2-1...
La règle 3-2-1 ne peut pas se reposer sur un seul prestataire. Il est bon de le rappeler. Même si le presta fait du 3-2-1 de son côté, c'est du 2*-2-1 du notre au mieux (2 copies sur 2 supports différents, 1 copie hors site).

L'astérix, c'est pour dire que
- les copies sont synchronisées. Cela protège des défaillances matériels (perte d'un disque), mais pas des bogues du prestataire (remplacement / suppression de fichiers). Donc c'est 2 copies avec un bémol ;
- certains drive propose également un téléchargement à la volée afin de libérer de l'espace sur le disque local (en gros, on a bien un fichier en local, mais qui est en fait un raccourci permettant un téléchargement automatique à la demande, nécessitant de facto une connexion internet). C'est bien, c'est pratique, mais on perd une copie, et on se retrouve donc en 1-1-1

Bref, afin de le rappeler : le Cloud n'est pas une solution de sauvegarde en soi. Il peut faire parti d'une stratégie de sauvegarde 3-2-1, mais il ne se suffit pas à lui-même, quand bien même le fournisseur de service pratique la stratégie 3-2-1.

C'est pratique la synchronisation, comme ça quand le ransomware chiffre t'es fichiers, ils sont automatiquement sauvegardés, c'est ça ? ;)
Histoire de dire, un truc synchronisé n'est pas un backup complet, tu ne peux pas récupérer en cas de modification non voulue (bien sûr il peut y avoir un historique et autre)

Le 28/11/2023 à 09h 42

On fait quoi sur un smartphone avec 16 ou 24 Go de RAM ?
Je me demande l'effet sur la consommation électrique (peut-être négligeable ?). Et s'il y a des optimisations genre écrire des trucs sur stockage permanent et désactiver x go de RAM.

Le 25/11/2023 à 05h 27

La question: si on vole l'ordi de quelqu'un, qu'on démonte le capteur et qu'on lui met une prise USB... On va pouvoir se loguer sur son nouvel ordi en injectant notre empreinte?
Ou extraire le n° identifiant et le réutiliser dans un autre système de login?

Ça dépend des cas. Et on peut faire pire que mettre une prise USB. Faut au moins :
- Une authentification du lecteur.
- Une sécurisation des échanges (au moins signé et anti-replay).
- Une sécurisation du stockage.

On parle pas forcément du voleur moyen, mais bon, décaper les puces pour aller intercepter les donnés, ça se fait.

Le 25/11/2023 à 05h 23

L'empreinte reste protégée ? Je n'ai rien vu à ce sujet, l'extraction ne semble pas avoir fait parti du périmètre.

J'ai utilisé un peu un lecteur d'empreintes y'a 15+ ans. J'ai arrêté en 1er lieu à cause du stockage de l'empreinte. Je recouvre aussi les capteurs des smartphones que j'ai.

Le 17/11/2023 à 01h 08

:P



C’est une question pour les autres abonnés. Oh et tant qu’à faire, let’s include non subscribers too.

Le 16/11/2023 à 15h 25

Il n’y a que moi que “board” gêne ? Nextinpact parlait toujours de “numérique”, est-ce que Next va parler de digital (à part pour les doigts) ?

Le 14/11/2023 à 03h 21

Le mien aussi était double.



Outre l’aspect humoristique, le fait de coller une citation à un personnage historique est généralement ce qu’on appelle un argument d’autorité (qui pour moi est comme une attaque personnelle : aucune valeur et ça démontre l’échec de l’argumentaire). Et c’est aussi une source de désinformation ou détournement du débat car le propos est souvent sortie du contexte pour voir sa finalité altérée, voire faussement attribué, voire même inventé.



L’un des plus célèbres cas étant la fameuse phrase de Benjamin Franklin au sujet des libertés qui a totalement été dénaturée et sortie de son contexte de l’époque, et pourtant répétée ad-nauseam y compris ici même.



L’autre exemple qui me vient en tête est de citer le livre 1984 à tout va en oubliant qu’il ne s’agit pas d’une anticipation/prédiction, mais d’une description des dictatures totalitaristes contemporaines de l’époque dans un contexte futuriste.



In fine, la désinformation et son impact sur la société illustre surtout un grave problème d’éducation et de regard critique sur l’information reçue. Et avec les médias sociaux fonctionnant à la dopamine et réaction, autant dire que tout sens critique est désormais mort et enterré puisque tout n’est que réponse à chaud.

Copain ! Ça me rappelle la philo… L’argument d’autorité était complètement accepté, et de mon côté je me disais que ça n’avait rien d’un argument, qu’être le propos d’une personne par ailleurs reconnue dans le domaine n’en prouvait pas la validité.

Le 02/11/2023 à 07h 12

Accessoirement, x86-64 (aussi connu sous le nom de AMD64) appartient à AMD.

Le 02/11/2023 à 03h 29

Je remarque qu’ils semblent plutôt discret sur une révolution (ré-évolution ?) : proposer un retour tactile de qualité sur les touches de fonction (Fxx), avec la possiblité sans regarder le clavier de sentir si on a bien positionné son doigt.

Le 24/10/2023 à 16h 28

Oui ça se change, bien sûr, sauf que tu connais beaucoup de gens qui en changent souvent (numéro de téléphone). Avec le portage… J’en suis à 4 opérateurs en 10 ans, toujours le même numéro.
Et si quelqu’un colle ta photo avec ton nom et que ça finit dans une BD de reconnaissance faciale, il ne te reste qu’à changer de tête. Bon c’est plus facile que de changer d’ADN.



Concernant les infos dans les adresses, bien sûr ça va varier selon les gens. Dans mon carnet, juste des prénoms ou des pseudo, pas de photo. Mais je connais des gens avec tout ça. Et je n’ai pas de statistiques.

Le 24/10/2023 à 02h 20

Ok, donc c’est bien ce que je pensais, y’a un rapport mais deux choses font que ce n’est pas la même chose:
1- Ton appli peut très bien avoir accès à ces données sans qu’elles quittent le terminal dans lequel elles sont détenues. et je suis d’accord que Mme Michu ne se pose pas la question.
2- Les données d’un carnet d’adresse ne sont certes pas très fluides, mais y’a quand même une certaine obsolescence.



la grosse diff c’est les implications. dans le cas de l’ADN c’est le graal de l’identification: c’est un identifiant unique (sauf cas très particulier) dont on peut changer, et en bonus on peut en déduire tout un tas d’autres informations.
le rapport, c’est qu’effectivement “les gens” se foutent pas mal de balancer leurs données perso à n’importe qui. alors vous pensez bien que celles des autres, on ne va même pas en parler.
d’ailleurs, qui parmi nous fait régulièrement le ménage dans son carnet d’adresse pour en virer les entrées obsolètes ou n’étant plus nécessaires? ^^

Je ne faisais qu’expliquer ;)
Je suis d’accord avec toi d’une façon générale, après nom + prénom + date de naissance, ça change peu.
Tu rajoutes le téléphone comme “clé +/- unique”, et une photo sympa. L’appli récupère plusieurs photos de carnets d’adresse différents, c’est un bon début pour faire de la reconnaissance faciale.

Le 23/10/2023 à 15h 42

Quand tu donnes accès à ton carnet d’adresse à une appli, tu files plein de données perso. Nom, prénom, email, tél, photo, et on peut en ajouter d’autre.
Donc TU décides pour les données des autres.

Le 12/10/2023 à 07h 09

Apple a triché. Puis, a refusé de jouer. Puis se plaint des règles du jeu.

Quelle bande d’arnaqueurs.



Non.
Le détecteur de proximité est bien une led IR avec un capteur optique.
Il y a bien un magnétomètre dans l’iPhone, qui permet de faire des expériences cool, oui. Mais, jusqu’à preuve du contraire, le corps humain n’est pas composé à 100 % de métal.
Et oui, ce détecteur est binaire. Tu peux le voir quand tu tapes directement dans l’API. C’est d’ailleurs pour ça que ça renvoi un… booléen. developer.apple.com Apple



Tout ça pour dire que le cas de l’ado à 2 cm de sa table de chevet est valide, et ne sera pas détecté par l’iPhone, qui émettra plus de puissance.

La dernière fois que j’ai regardé (iphone x) c’était de l’optique. Je pense qu’ils font optique + gyro, si un truc est détecté à proximité mais tel à plat, ça émet plus fort.
Donc ne pas téléphoner allongé ;)



Dans mes expériences sur un Samsung Galaxy s4, la proximité qui déclenchait le capteur était de 8cm.

1 2 3 4 5 12 13