anonyme_6fe7c92f62c257fced6328182e378c61
est avec nous depuis le 24 mai 2020 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
820 commentaires
Les Skyblogs fermeront le 21 août
Le 26/06/2023Le 26/06/2023 à 06h 14
C’était un peu tombé dans l’oubli je pense
J’ai eu un Skyblog comme beaucoup d’ado à cette époque qui a durée de 2006 à 2011, il reste une petite partie sur la wayback machine, ce sont de bons souvenirs, bien sûr aujourd’hui je m’en tape complètement et j’en aurais pas re créer un.
Chrome : des améliorations bienvenues pour le gestionnaire de mots de passe
Le 20/06/2023Le 21/06/2023 à 06h 31
Ok merci, j’avais peut-être déjà lu à ce sujet mais je n’étais plus sûr.
Qui n’est utile que si tu partages ta session de navigation avec une personne physique, ce qui est loin d’être toujours le cas.
https://support.mozilla.org/fr/kb/utiliser-mot-passe-principal-proteger-identifiants
Si la personne a un accès physique à l’appareil, oui effectivement.
Tu parles d’un modèle de menace spécifique que je n’ai pas connu depuis des années, alors je ne me sens pas concerné, je comprends l’argument mais personne de mes connaissances ne vient chez moi pour me dire “tu peux me laisser ton PC pour surf stp ?” Ils ont tous le leurs, de plus, on est tous des adultes.
Le 20/06/2023 à 17h 57
C’est bien ce que j’ai écris, les mots de passe enregistrés dans Chrome sont protégés par le mot de passe de ton compte Google, du moins avant il n’y avait que ça.
Il y a 10 ans, je ne sais pas s’il était déjà possible de créer des profils séparés dans Chrome, je n’enregistrerai pas mes mots de passe dans le navigateur dans un environnement de travail, mais cela dit, si un collègue passe derrière avec l’intention de voler mes mots de passe d’une session qui ne lui appartient pas, alors il y a un problème plus urgent à régler.
Oui c’est facultatif, leurs argument ne tenait pas.
Disons que c’était l’erreur de croire que l’utilisateur sait forcément être responsable
On apprends de ses erreurs (enfin pas toujours ^^)
Le 20/06/2023 à 15h 48
Les mots de passe sont stockés en claire si Sync n’est pas activé ? Etre connecté à un compte Mozilla fait-il une différence ?
Non à rien de particulier, j’ai simplement répondu à un commentaire que le mot de passe maître n’a d’intérêt que si tu partages ta session de navigation avec quelqu’un d’autre, si tu es seul chez toi par ex, ce n’est pas franchement utile et c’est fastidieux sur le long terme.
Le 20/06/2023 à 13h 31
Sans être connecté au compte Google ? Si c’était il y a une dizaine d’années, alors je ne m’en souviens pas et je devais être à 100% sur Firefox.
C ‘est pas claire comme déclaration, tu parles de la session de l’OS ? Si l’équipe en charge chez Google pensait cela, c’était faux effectivement.
Thanks.
Le 20/06/2023 à 11h 54
Le mot de passe maître dans Firefox n’est utile que si tu partages ton navigateur avec quelqu’un, il ne fourni aucun protection supplémentaire côté serveur.
Il était protégé par le mot de passe de ton compte Google, aujourd’hui tu as le chiffrement sur l’appareil pour Android et iOS, c’est mieux, cela s’étends sur la version bureau à présent, sans oublier Passkey.
Next INpact vit ses dernières semaines… sauf miracle
Le 12/06/2023Le 11/06/2023 à 09h 25
Le 11/06/2023 à 09h 12
Un peu comme toi qui poste des pavés sur une cinquantaine de pages du matin au soir avec un compte crée ce mois-ci ?
L’activation à distance des micros, caméras et GPS des terminaux numériques validée par le Sénat
Le 09/06/2023Le 09/06/2023 à 08h 52
Pegasus nécessite que l’utilisateur active un logiciel malveillant et cela ne concerne pas la grande majorité d’entre-nous. comme il s’agit de tromper, comme faire croire à une MAJ du système d’exploitation, j’admets qu’il est facile de tomber dans le paneau.
Le 09/06/2023 à 06h 15
Il est toujours possible de vous localiser sans la carte SIM par le micrologiciel et les tours cellulaires, sauf si vous utilisez le mode avion en plus, mais un adversaire ou un logiciel malveillant ne peut pas accéder comme par magie à votre microphone ou à votre caméra si vous leurs avez refuser l’accès en premier lieu. Il ne suffit pas de vouloir faire installer une backdoor au niveau matériel pour que les constructeurs s’y collent, il n’y a par exemple aucunes preuves techniques d’une backdoor dans les processeurs Intel et AMD malgré toutes les théories plus ou moins conspirationnistes, et une backdoor matériel n’a pas beaucoup de sens dans un monde où les failles zero-day existent.
WinRAR très inquiète du support à venir des fichiers RAR dans Windows 11
Le 01/06/2023Le 01/06/2023 à 12h 39
Oui, le problème est que le modèle commercial de WinRAR est foireux, permettre la version d’essai un nombre illimité de fois, c’est se tirer une balle dans le pied, quand je l’utilitisais, il me suffisait de fermer la petite fenêtre contextuelle, la vérité est que WinRAR n’a aucun intérêt en tant que logiciel payant.
Le 01/06/2023 à 06h 08
Cette amélioration dans Windows est attendu depuis longtemps et est bienvenue, mais sérieusement, hormis éventuellement certaines boîtes durant une époque j’imagine, qui a déjà payés pour WinRAR ? J’en parlais à un ami récemment, je ne connais personne autour de moi à l’avoir fait et 7zip / PeaZip le remplace à 100% depuis belles lurettes.
Pourquoi peut-on pirater un mot de passe de 10 caractères en 2 semaines, contre 5 mois l’an passé ?
Le 16/05/2023Le 17/05/2023 à 22h 49
Le 17/05/2023 à 08h 42
Un bon article sur la robustesse des mots de passe : https://palant.info/2023/01/30/password-strength-explained/
Le diceware est la méthode que je choisi quand le service me laisse le choix.
YouTube pourrait réclamer la désactivation des adblockers, ou d’opter pour un abonnement Premium
Le 12/05/2023Le 12/05/2023 à 10h 43
Le 12/05/2023 à 07h 23
What ? J’ai zéro pubs sur les vidéos avec l’abo Premium, de quand ca date ?
Le 12/05/2023 à 06h 13
J’utilise Premium, mais une vidéo qui se coupe X fois avec des publicités dégrade massivement l’expérience utilisateur, une bannière en haut, et une publicité en début ou en fin de temps en temps que l’on peut couper est déjà mieux, ceci dit, cette annonce n’est généralement pas une bonne approche. Les recommendations YouTube sans le suivi de l’historiques sont les pires.
Google I/O 2023 : Pixel 7a à 509 euros, Pixel Fold à partir de 1 799 dollars et Pixel Tablet dès 679 euros
Le 11/05/2023Le 11/05/2023 à 21h 36
Bien que cela soit vrai, AOSP est reservé aux développeurs et une version pure ne serait pas nécessairement bon. Android Stock Google est la version officielle de AOSP prévu pour les utilisateurs et il offre généralement une bonne expérience, bien sûr AOSP et les services Google ne sont pas directement liés, il est tout à fait possible de construire un système d’exploitation basé sur AOSP sans les services google.
En comparaison, les surcouches d’autres constructeurs comme Xiaomi, Samsung, OnePlus etc sont plus intrusives et augmentent généralement la surface d’attaque, je considérerais peut-être Samsung comme le moins pire ici.
Le 11/05/2023 à 10h 55
Article d’origine :
https://www.nitrokey.com/news/2023/smartphones-popular-qualcomm-chip-secretly-share-private-information-us-chip-maker
Réponse de GrapheneOS :
https://discuss.grapheneos.org/d/4687-misleading-article-about-qualcomm-psds-xtra
https://old.reddit.com/r/privacy/comments/12yii9u/german_security_company_nitrokey_proves_that/jhojlr7/
Article de The Register + d’un développeur de Alpine Linux :
https://www.theregister.com/2023/04/27/qualcomm_covert_operating_system_claim/
https://blog.brixit.nl/nitrokey-dissapoints-me/
Le 11/05/2023 à 09h 03
Le fabricant du micrologiciel peut aussi te géocaliser. Il y a récemment eu un article alarmiste sur Qualcomm provenant de Nitrokey, l’équipe de GrapheneOS et d’autres chercheurs en sécurité ont démystifiés le problème, il s’agissait essentiellement d’un coup de pub pour Nitrokey qui vends des Pixel + GrapheneOS a des tarifs élevés alors que tu peux le faire toi mm.
Les comptes Google acceptent les passkeys pour se connecter
Le 05/05/2023Le 05/05/2023 à 16h 01
Si ca vous intéresse, voici un récent débat sur le forum de GrapheneOS avec des questions et réponses intéressantes.
https://discuss.grapheneos.org/d/4834-what-is-your-opinion-on-the-new-passkey-release-of-google
Rassurez-vous, on est pas les seules à se poser des questions.
Pour l’instant, de loin j’aime vraiment bien l’idée de Passkey , mais c’est un concept très nouveau, bien que Google en rêve depuis 10 ans, mais personne n’était prêt à ce moment là.
Le 05/05/2023 à 08h 46
C’était simple à activer, Google m’a proposé plusieurs méthodes et j’ai choisi mon code PIN Windows Hello, méthode que j’utilises aussi pour ma banque, ca fonctionne.
HTTPS : le cadenas disparaîtra de la barre d’URL de Google Chrome au profit d’un logo plus neutre
Le 04/05/2023Le 04/05/2023 à 17h 32
Le 04/05/2023 à 16h 10
Le 04/05/2023 à 12h 11
Des exemples ?
Le 04/05/2023 à 11h 25
Quoi donc ? L’absence du cadenas ? Brave l’affiche toujours si on parle bien de la même chose, remplacer le cadenas par une icone plus approprié est une proposition en cours sur Chromium que tu peux essayer sur Chrome Canary, les navigateurs n’ont pas encore fait le changement.
Le 04/05/2023 à 11h 06
Le but ici est de faire comprendre aux utilisateurs que d’un, en cliquant sur le cadenas, ils ont accès à des paramètres comme le micro, la localisation, les capteurs de mouvements, la gestion des cookies de première partie et troisième partie etc, qu’ils peuvent modifier, et de deux, que le cadenas ne signifie pas que le site est digne de confiance, juste qu’il utilise TLS et un cerificat valide. De nombreux utilisateurs semblent ignorer selon l’étude que le bouton cadenas dans la barre URL est aussi un bouton paramètre, comme 95% des sites sont chiffrés par HTTPS, le cadenas affiché a perdu de sa valeur, et n’est plus adapté.
Les navigateurs devraient proposer par défaut la connexion automatique en HTTPS avec un message d’avertissement, ceci empêche de visiter un site non chiffré sans le vouloir, les sites en HTTPS peuvent contenir des éléments non sécurisés comme les images et sur Chromium, ses avertissements sont affichés, je ne sais plus pour Firefox. Je ne pense pas qu’il soit utile d’afficher un bouclier rouge, jaune et vert, pas besoin d’icônes redondantes si le navigateur se contente simplement d’afficher un message “non sécurisé” pour les liens en HTTP, qui sont de plus en plus rares, que le certificat soit EV ou non-EV ne devrait pas faire de différences pour l’utilisateur, c’est mon avis.
Le 04/05/2023 à 08h 47
Exemple concret avec Trustcor.
Chromium et Firefox ont supprimés le certificat. Possibilité aussi de le désactiver dans les paramètres Android, en attendant sa révocation total.
Le 04/05/2023 à 07h 33
J’ai lu la new sur leurs blog hier soir, je pense que ce n’est pas une mauvaise idée, en effet HTTPS n’indique pas qu’un site est fiable et une icône style “paramètre” serait mieux adapté.
Dans le même temps, les navigateurs devraient tous activer HTTPS pour tous les sites par défaut, il est incomphréhensible que Edge ne propose toujours pas l’option avec une bascule dans ses paramètres.
Steam alerte les utilisateurs de Windows 7, 8 et 8.1 sur la fin de leur support
Le 28/04/2023Le 29/04/2023 à 19h 55
Dans une configuration normal, il n’y a aucune différence notable entre W10 et W11 en jeu, chez moi ça tourne très bien (le reste aussi en passant, enfin je n’ai pas tout testé). Le reste dépends entièrement des goûts.
Le 29/04/2023 à 14h 45
Une petite parenthèse sur GOG, mon expérience avec le service client a été désastreux tandis que je n’ai jamais eu de problèmes avec celui de Steam, j’ai demandé de l’aide pour des bugs et 2 fois pour un remboursement et on ne m’a jamais répondu, donc maintenant, je réfléchi bien avant de prendre sur GOG, que c’est un jeu que je suis sûr de garder.
Escroqueries en ligne : Thésée a reçu 68 000 plaintes et 16 500 signalements en un an
Le 20/03/2023Le 20/03/2023 à 22h 40
Théséevous, le nouveau slogan pour dire non.
WhatsApp va permettre de passer sous silence les appels de numéros inconnus
Le 07/03/2023Le 07/03/2023 à 12h 38
Ce problème, est-ce parce que WhatsApp peut s’utiliser comme application téléphonique par défaut ?
Le démarchage téléphonique désormais limité en semaine, de 10h à 13h et de 14h à 20h
Le 01/03/2023Le 04/03/2023 à 20h 21
C’est le cas, les FAI font aussi du démarchages téléphoniques, généralement tu as une option pour refuser dans les options de ton compte, mais la formulation peut sciemment être tourné bizarrement pour que tu fasses l’inverse de ce que tu veux.
Le 04/03/2023 à 18h 57
Tu as des numéros indésirables qui insistent même quand tu as décroché et qui te laissent des messages vocaux où il ne se passe rien.
Le 02/03/2023 à 09h 42
GIMP 3.0 sortirait cette année
Le 31/01/2023Le 31/01/2023 à 13h 07
Gimp n’est pas comparable, Photoshop est largement au dessus et Krita convient très bien pour du digital painting, Photoshop est plus éclectique. Il y a Inkscape comme alternative à Illustrator, très correcte pour l’avoir testé. Je n’ai pas encore vu une alternative viable à After Effects pour le moment.
« Je ne suis pas une data » : l’UFC Que choisir lance une campagne de sensibilisation
Le 26/01/2023Le 28/01/2023 à 15h 23
L’importance de faire des sauvegardes, surtout si ça concerne son taf et autres documents importants.
Le 28/01/2023 à 13h 01
Le 28/01/2023 à 12h 19
Les gens qui veulent réduire les données collectés à leurs sujet doivent adopter un modèle de menace, pour cela il faut définir la menace et l’erreur courante est de cibler les grandes entreprises technologiques, le premier lien explique pourquoi ça ne fonctionne pas. Une autre erreur courante est de supposer que la télémétrie des fournisseurs de services est invasive, sans expliquer ce que la télémétrie collecte, c’est du sophisme. Sans un modèle de menace, tu prends des mesures sans comprendre pourquoi, pire, tu fini dans la paranoïa sur le long terme.
Les acteurs de le menace ne sont pas statiques, ils s’adaptent au modification que tu apportes, en exemples : bloquer les cookies tiers pour tous les sites encourage l’adoption de la prise de l’empreinte numérique qui n’offre aucun contrôle, essayer d’usurper l’empreinte numérique ne fonctionne pas parce qu’elle est toujours identifiable dans l’API JS, resist.fingerprint dans Firefox ne fonctionne pas non plus, plus tu apportes des changements à des paramètres obscures, plus tu te démarques et plus tu réduis la confidentialité en apportant plus de moyens de te suivre, effacer les données des sites à la fermeture permet par contre de réduire le suivi persistant.
Le théâtre de la sécurité / vie privée encourage les mauvaises choses en donnant un faux sentiment de réussite, au lieu de définir un modèle de menace claire, il y a juste de la fantaisie et la justification que faire quelque chose est mieux que de ne rien faire.
Les recommandations générale doivent être solides, vérifiés par des pairs et donner des sources, les insécurités de Madaidan est un bon exemple, il explique que c’est général et qu’il ne prends pas en compte le modèle de menace de l’utilisateur, malgré cela, ses recommandations sont objectives, vérifiés et méritent d’être utilisé dans un modèle de menace. Les recommandations et conseils par le site posté par NIX contiennent beaucoup d’éléments obsolètes, trompeurs et dangereux, par exemple, il n’est pas utile de changer son mot de passe tous les X mois, un Antivirus n’assure pas la sécurité comme le blocage de quelques trackers n’assure pas de réduire le suivi, énumérer la méchanceté ne fonctionne pas, c’est au mieux un palliatif qui réduit faiblement l’exposition sur l’instant T, l’Antivirus est aussi complètement inefficace sur Android et iOS en raison de la conception de sécurité de base, Android est soumis aux politiques SELinux qui consiste à un contrôle approprié que ce peuvent faire chaque applications avec le principe du moindre privilège, chaque applications est confiné dans son propre processus et n’ont pas accès aux données du système, comme l’Antivirus est considéré comme une application, elle n’a pas les privilèges nécessaires, même si elle les avait, elle ne ferait rien pour améliorer la sécurité.
Un autre lien que j’apprécie, sur les deux types de vie privée en ligne : https://seirdy.one/posts/2022/06/25/two-types-of-privacy/
Voici un exemple sans modélisation de la menace :
Jacques : J’utilise le même mot de passe pour tous les sites parce que c’est facile à mémoriser.
Roger : Utilise un gestionnaire qui mémorisera chaque mot de passe unique à ta place.
Jacques : Ok je vais utilisé un gestionnaire très médiatisé comme LastPass, sauf que mince, leurs serveurs ont subis une fuite massive de données et LastPass n’a pas été honnête avec ses clients.
Roger : Ok alors utilises un gestionnaire open-source et audité comme Bitwarden (leurs base de données peut toujours fuité).
Jacques : Ok, mais mince j’ai oublié mon mot de passe maître parce que je n’ai pas eu le réflexe de le noter et l’enregistrer.
Roger : Ok alors note toi-les sur un calepin.
Jacques : Oui mais ma maison a pris feu et mon calpin a brulé.
Etc etc…. On peut allez loin.
PS : Je n’ai plus le lien, mais un jour je suis tombé sur un article de blogue très intéressant, sur le risque de stocker toutes ses données privées sur son outil numérique, même si elles sont stockés de façon sécurisés, le mec a justement été victime d’un incendie, son smartphone a grillé et comme il n’avait pas de sauvegardes, il a tout perdu, ses mots de passes etc.
Le 26/01/2023 à 12h 12
Ce genre de sensibilisation ne fonctionne pas, outre la mise en forme terrible, l’utilisateur risque d’être rebuté par l’image alarmiste et politique qu’elle renvoie, il est beaucoup plus sain d’avoir une approche pratique de la sécurité / confidentialité, établissez un modèle de menace claire qui fonctionne dans votre quotidien et ne supposez pas que les pratiques des uns seront forcément bonnes pour vous, vous devez faire vos propres recherches, et ce n’est pas en lisant des slogans sérieusement teintés de sophisme et de FUD que vous allez le faire.
Lisez plutôt ses liens :
https://privsec.dev/posts/knowledge/threat-modeling/
https://www.privacyguides.org/basics/threat-modeling/
https://opsec101.org/
Le 26/01/2023 à 07h 02
Site non sécurisé, ok, je l’ouvre dans Application Guard et là il m’autorise HTTPS, la première chose que je vois, la mise en forme ne me donne pas envie de parcourir l’entièrement du site, c’est mal foutu et mal lisible, ensuite, je vois un deuxième problème que je vois souvent ailleurs : Aucune modélisation des menaces, à l’inverse, je vois de l’émotionnel, de la fantaisie et la justification que faire quelque chose est forcément bien, apporter des conseils pour de meilleurs pratiques est une bonne chose, encore que ses conseils peuvent devenir obsolètes, mais mon avis est que ce genre de site web surfe essentiellement sur l’image de marque et le marketing, bien sûr, les gens qui ne savent pas ce que c’est une modélisation des menaces seront facilement dupés.
WinGet 1.4 disponible avec le support de l’extraction des zip
Le 25/01/2023Le 26/01/2023 à 06h 53
Ca va s’améliorer je pense, et en effet c’est encore récent.
Je suis d’accord c’est un joyeux bordel sans parler que tous les paquets n’ont pas le même mode de désinstallation.
Le 25/01/2023 à 08h 18
J’aime bien ce Winget à la sauce Linux, c’est pratique et les paquets sont vérifiés, le seule problème, c’est qu’il peut y avoir des retards dans les MAJ
Gestion catastrophique des mots de passe par des sites et services : faites-nous part de vos expériences !
Le 20/01/2023Le 22/01/2023 à 14h 58
Petite parenthèse parce que je vois s’en plaindre, les caractères spéciaux ne sont pas nécessaires pour créer des mots de passes robustes, vous pouvez opter pour une phrase de passe avec la méthode Diceware, c’est bien aussi dans les situations où vous devez le mémoriser et le taper au clavier.
Le 21/01/2023 à 16h 56
Ok !
C’est la première fois que je lis cette théorie mais ce n’est pas inintéressant, cela dit, je me dis qu’employer “crypter” pour ce cas de figure n’amène qu’essentiellement du doute, ton lien est intéressant au passage, fourni des explications et révèle plus ou moins d’où vient ce mot “crypter”, de mon côté, j’ai rapidement comparé “crypter” à une traduction déformé de “Encrypt”, un genre de franglais si tu veux, qui a ensuite été popularisé par les médias.
On dit qu’une chaîne de TV est “crypté” dans le cas où elle est payante et où tu ne paies pas, ce qui a probablement dû conforter dans l’idée que “crypter” est un terme valide en sécurité informatique puisque dans la tête des gens, “crypter” revient à “brouiller” donc “cacher” donc ce qui semble “sécuriser puisque inaccessible”, c’est ainsi que je le vois.
Le 21/01/2023 à 14h 10
On peut citer Windows Hello comme code PIN, je m’en sers pour valider ma connexion au compte MS et même au démarrage du Windows.
Merci pour cette info ! Je ne sais plus comment c’est sur Android, avec le Titan M pour mon cas mais je crois que c’est similaire, en tout cas la puce est censé rendre une attaque par brute force extrêmement difficile et empêcher pleins d’autres trucs, par ex, la puce détruit les données si un changement anormal est détecté comme un changement brutal de la température, réduisant de beaucoup la plupart des attaques par canal latéral, avoir accès aux clés de signature de Google pour le micrologiciel du Titan M n’est pas suffisant pour éxecuter son propre micrologiciel malveillant etc, je suis quasi sûr que l’alternative d’Apple fait pareille.
PS : Quelle est la différence dans ce contexte entre chiffré et crypté ?
Oui le digicode des banques est un code PIN, c’est bien ca ?
Le 21/01/2023 à 11h 56
D’accord ! Je n’ai pas d’exemples en tête que j’ai moi-même vécu mais je comprends le boulon.
Le 21/01/2023 à 10h 25
L’autre problème est qu’actuellement, il n’existe aucune solution simple et universelle pour envoyer un mot de passe provisoire autre que par mail que l’utilisateur ne changera pas forcément et c’est pire par SMS. Les fournisseurs de services concernés devraient cesser cette pratique et demander dès le départ à ce que l’utilisateur créer lui-même son mot de passe pour recevoir un mail de confirmation, ce n’est toujours pas le top et ça ne signifie pas que le mot de passe haché est stocké de façon sécurisé (en partant du principe qu’il est bien haché), mais c’est mieux.
Le 20/01/2023 à 19h 27
Qui a décrété que KeePass est mauvais ? Y’a t-il de sérieux problèmes ? Je n’ai pas utilisé KeePass depuis un bon moment et je ne suis pas renseigné sur le sujet.
Je ne comprends pas le principe de l’abonnement lifetime, pour moi, au mieux c’est du pipo, au pire c’est s’enfermer dans un abo avec difficulté de partir.