Le 20/01/2023 à 18h 23

Je réfléchi, mais actuellement parmi mes comptes en ligne, le pire que j’ai en tête serait le fournisseur qui m’envoie un mot de passe par mail, cela dit dans mon expérience, le mail indique la plupart du temps que le mot de passe est provisoire et qu’il doit être changé (de mon expérience je rappel), impossible par contre de savoir s’il est stocké en claire ou non, j’utilise un mot de passe fort et unique pour tous mes comptes de toute manière, même si il y a des problèmes et que ce n’est pas une solution magique.

Ma banque (Boursorama) utilise un digicode à 8 chiffres, pas top, mais je dirais que la majorité des banques font de même, ce n’est pas un gros problème puisque j’utilise mon empreinte digitale basé sur Titan M ainsi que mon code PIN Windows Hello qui est 100 % local.

D’une manière général, je ne m’inquiète pas pour mes mots de passe et pour mes comptes que j’utilise, mais je reste méfiant et je surveille.

Le 17/01/2023 à 15h 52

Carboline a dit:

Et pourtant, ça marche très bien. Fais le test sur une VM, tu verras.

Pourquoi utiliserais-je une version obsolète de Office dans une VM ? Je n’en ai aucunement l’intérêt.

Le 17/01/2023 à 15h 12

Carboline a dit:

Bah, il suffira de DL un Windows 7 et un Office 97. Ça ne mange pas de pain et ça fait le taf. Pas besoin de plus.

Je ne sais pas si c’est de l’ironie, mais ça n’a aucun sens, sans parler du fait que W7 est obsolète, Office 97 était prévu pour les versions 95, 98, 2000 et XP, même avec le mode de compatibilité XP sans aucune garantie de résultat, vouloir l’utiliser aujourd’hui est insensé.

Le 12/01/2023 à 10h 03

Pour l’utiliser de temps en temps, il est vraiment efficace.

Le 12/01/2023 à 09h 52

yl a dit:

C’est de la bêtise ou c’est fait exprès?

1. La rolling release win10 a poussé des MAJ majeures pendant la durée de support de la précédente itération et transformé bien des utilisateurs en cobayes. Ils n’avaient rien demandé et aucun impact sécurité avant 1 an (délai permis à la version pro).

Ca peut sembler égoiste, mais je n’ai pas été impacté par ses MAJ sois-disant imposer dans W10, donc je ne peux pas pleinement comprendre tes reproches.

1. Donner le choix pour les MAJ, comme ça avait toujours été le cas avant, surtout pour les majeures pdt la durée de recouvrement.

Et ? Sur mon W11 pro, je recois une notif si une MAJ est dispo et je décide de quand la faire, comme je l’ai installes toutes, ce n’est pas un problème de toute manière, mais je concois que mon usage fait probablement que je ne vois pas le problème.

1. Si le matériel+logiciel est à soi, le droit d’en disposer à sa guise et ne pas se faire planter doit être assuré, point.

Le matériel est à toi, le logiciel ne l’est pas, quand tu paies Windows, Microsoft t’autorise d’utiliser ses services, d’en faire des modifications, mais ne t’appartiennent pas, ils sont sous la propriété intellectuelle de Microsoft.

Le 11/01/2023 à 19h 58

(quote:2114152:127.0.0.1)
Le discours c’est qu’il faut upgrader tout et tout le temps pour des raisons de sé-cu-ri-té.

C’est réducteur, mais c’est une des raisons, principalement si tu t’en sert connecté à Internet. Les personnes qui veulent utiliser un OS obsolète strictement hors-ligne pour diverses raisons comme utiliser un programme spécifique n’est pas vraiment un problème, mais je ne verrai pas ce genre de comportement dans un environnement d’entreprise, même si je sais que certaines (beaucoup?) le font pourtant.

Mais dans les faits ca retire la maitrise de la sécurité des mains des utilisateurs pour la mettre dans celles des éditeurs de logiciel. Tu m’étonnes qu’ils poussent pour que tu upgrades en permanence puisqu’en retour ils ont la maitrise de ton logiciel :)

Les utilisateurs n’ont pas la maîtrise de la sécurité des logiciels qu’ils utilisent, la plupart des utilisateurs normaux ne durcissent pas Windows et rendraient probablement leurs système inutilisable s’ils le faisaient, parce que cela implique de savoir exactement ce que l’on fait et d’analyser son modèle de menace pour décider des étapes à appliquer.

Je me sens beaucoup plus en sécurité avec un OS qui j’ai sécurisé et qui ne bouge pas, plutôt qu’un OS qui se met à jour tout seul tous les mardis et te rajoute des fonctions/services/tâches (souvent en opt-out) aléatoirement.

Les utilisateurs ne peuvent pas sécuriser le système d’exploitation, ils peuvent simplement le durcir (avec de vraies techniques comme imposer des restrictions dans une stratégie de groupe, pas avec des logiciels et des gadgets), et cela implique ce que j’ai écrit plus haut, à savoir, le risque de rendre son système inutilisable.

Les MAJ de sécurité automatiques est le meilleur moyen, les MAJ manuelles ne fonctionnent pas pour la plupart des gens, les fonctionnalités nous approuvées est un autre sujet, un OS qui ne bouge pas n’est pas sécurisé, c’est la philosophie trompeuse de Debian qui gèle les paquets.

PS : Je n’ai jamais vraiment eu de problèmes pour installer Windows, aujourd’hui, je pense qu’installer W10/11 est relativement facile et rapide, pas autant qu’installer une distro Linux grand publique comme Fedora ou Ubuntu je le conçois.

Le 11/01/2023 à 17h 39

yl a dit:

C’est certain que quand une machine est plantée par une MAJ majeure longtemps impossible à repousser hors versions pro, elle est bien sécurisée!

Tu as répondu toi-même au problème, vouloir repousser une MAJ majeure.

La politique de sortir totalement l’utilisateur de la boucle est indéfendable et a posé bien plus de problèmes qu’elle n’en a évité.

Je ne ne comprends pas ta phrase.

Puis on a acheté son matériel (et éventuellement son OS avec), ou pas?

Quoi ou pas ? Tu parles de moi ? Oui j’ai acheté mon matos et je monte mes PC moi-même, depuis W7 j’ai utilisé les MAJ gratuites pour arriver à W11 et j’ai upgradé vers la version Pro en payant sur le Microsoft Store.

(reply:2114137:Guinnness) Ca fonctionnait aussi étonnement bien dans mon cas et c’était y a 5 ans environ, ça s’est amélioré depuis j’imagine, mais bon, j’ai eu envie de retourner à Windows de toute manière, également pour mon travail, je n’utilise pas les volants etc donc je n’ai pas d’avis, mais je te crois ! Enfin, si un jour le jeu PC en général pouvait fonctionner nativement sur Linux, ca serait super.

Le 11/01/2023 à 17h 17

J’ai du mal à comprendre la difficulté pour certains de quitter W7, ce n’est pas comme s’il était irréprochable, même pour du jeu, ça n’a pas de sens, mais je suis au courant que certains aiment l’utiliser en mode hors ligne avec les logiciels pas mis à jour en mode, tant que ça fonctionne on touche pas.

yl a dit:

Edge pourtant basé sur le moteur de Chrome propose plus d’options confidentialité/nettoyage (y compris systématique en quittant) que l’original…

Chrome le propose aussi, les options de confidentialité dans Edge sont à relativiser parce qu’il s’agit simplement d’un faible blocage basé sur des listes, ce genre de fonctionnalité ne fait que réduire faiblement l’exposition durant une certaine période, c’est utile, mais elle existe principalement pour te faire sentir mieux. En revanche, Edge permet de désactiver JIT qui est une option de sécurité utile, bien qu’on puisse aussi le faire dans Chrome et Firefox, mais tu as moins de contrôle comparé à Edge.

et même que Chromium.

Chrome et Chromium sont quasiment identiques, même le code.

quand c’est gratuit c’est toi le produit

Windows n’est pas gratuit, et cette citation du “quand c’est gratuit c’est toi le produit” dépends entièrement des cas, je peux te citer des systèmes d’exploitation gratuits qui n’utilisent pas ni ne vendent de données personnelles des utilisateurs, il peut y avoir une certaine télémétrie pour analyser les usages et pour envoyer les MAJ, mais c’est tout, exemples : QubesOS, Tails, Whonix, GrapheneOS, DivestOS…

Combien de temps ont-ils plantés les utilisateurs des versions home avec les MAJ forcées, y compris les majeures? Pour leur “bien” aussi?

Les MAJ sont importantes, surtout celles concernant des failles de sécurité critiques (elles ne sont pas toutes au mm niveau bien sûr) quelle que soit l’OS.

Franchement, hormis les gamers, trouvez le repos et passez à Linux!

J’ai utilisé Proton basé sur Wine durant un certains temps et ma conclusion est que pour le moment, Windows est toujours un meilleur choix pour le jeu sur PC.

RedShader a dit:

Pas convaincu, j’ai testé pas mal de distrib Linux et je préfère toujours mon Windows 11 pro.

Je dirai que cela dépends essentiellement des usages, j’imagine mieux un administrateur système sur un environnement Linux, dans mon cas pour le travail, j’ai besoin et je préfère Windows 11 pro, mais j’ai un petit Fedora à côté pour juste Internet et peu de bureautique, code (quand je suis motivé).

Le 25/12/2022 à 22h 14

(reply:2111821:marba) Je comprends mieux le coeur du débat et certaines de tes réactions, il s’agit une nouvelle fois de la crainte sur l’efficacité des bloqueurs de publicités sous Manifest V3, tu es attaché par des extensions comme uBlock Origin parce que je suppose que tu t’en sert régulièrement, ainsi qu’à Firefox qui laissera selon ce que j’ai lu, la possibilité d’utiliser Manifest V2, donc ceci devrait te convenir.

J’ai déjà écrit ce que je pense de Manifest V3, pour moi c’est une évolution positive et son but n’est pas de casser le blocage des publicités, je ne sais plus quel membre a posté la vidéo de Sun Knudsen sur ce fil sur les problèmes des adblockers, mais Manifest V2 autorise trop de privilèges élevés, ce n’est pas préocuppant jusqu’à ce que tu comprennes ce que cela implique et les risques qu’il peut y avoir, pleins d’utilisateurs utilisent des extensions malvaillentes tous les jours qui peuvent aller jusqu’à voler des données dans le système d’exploitation, la maintenance dans ses conditions est difficile.

Je ne suis pas d’accord avec des affirmations par Mozilla et l’EFF à ce sujet, mais je respecte néanmoins l’EFF et Firefox est l’un des navigateurs que je continue d’utiliser.

Le 25/12/2022 à 21h 18

marba a dit:

Quel navigateur maintient un véritable fork de chromium ? Et quelles fonctionnalités différentes ?

Il n’y a pas de vérltables ou de faux fork de Chromium, tous sont des forks, même Google Chrome, il s’agit de leurs propre version de Chromium, seule l’interface est la même, ce qui rends l’expérience utilisateur très proche du Chromium de base.

Edge, Chrome, Vivaldi, Brave, Bromite, Kiwi, Vanadium etc, tous ses navigateurs nécessittent la maintenance et le dévelloppement, ce n’est pas parce qu’ils sont basés sur Chromium qui est fourni par Google que ce n’est pas le cas, chacuns de ses navigateurs ajoutent leurs propres fonctionnalités, leurs durcissements (ou la réduise), et d’autres changements, comme le font des forks de Firefox comme LibreWolf qui basiquement, est un Firefox avec Arkenfox sortie de la boite.

Je ne vais pas énumérer une liste de toutes les modifications faites ou annulés, par ailleurs, Chromium est un moteur robuste avec des atténuations d’exploitations décentes, ceci a nécessité une refonte totale de l’architecture de Chromium par des années de travail et de recherche pour arriver à sa maturité actuelle, il faut savoir où tu veux aller quand tu parles de modifications significatives.

Vanadium de GrapheneOS permet d’autres atténuations, y compris celles développé en amont mais pas encore fonctionnelles en raison de la taille du code. Edge est le seule navigateur Chromium pour bureau qui permet de désactiver JIT où ACG, CIG, CFG et CET sont désativés dans le moteur de rendu, ceci a pour effet de réduire grandement la surface d’attaque que répresente Javascript sans casser la plupart des sites (l’activer pour tous les sites facilite la prise de ton empreinte numérique pour le suivi en contre-partie) ce n’est pas de la bidouille superficielle, il n’est pas juste d’affirmer que les dévellopeurs sur Chromium ne font que du superficielle, ceci dépends grandement du navigateur Chromium.

Le 25/12/2022 à 20h 22

marba a dit:

Donc ce que tu dis est inutile et ne fait pas avancer le débat.

Je ne suis pas dans le débat, je suis tombé sur ton message où tu affirmes que seule Mozilla développe et maintient un navigateur tandis que les développeurs sur Chromium ne font que du superficiel, ce n’est pas vrai, merci de rester respectueux.

Le 25/12/2022 à 19h 40

marba a dit:

Brave par exemple n’implémente rien, c’est juste un skin et des paramètres de Chromium spécifiques. Mais c’est Chromium quoi.

La différence entre Mozilla et tous les autres concurrents de Google, c’est que Mozilla est la seule entreprise à développer et maintenir un navigateur, les autres ne font rien de tout ça, c’est juste du superficiel. En gros ils ont les compétences et les épaules de faire ça, pas les autres.

Google fourni le moteur Chromium qui est une base pour d’autres développeurs qui veulent l’utiliser, ils peuvent ensuite créer leurs propres versions de Chromium, cela inclut le développement et la maintenance, tout comme il est possible de le faire avec Gecko, ton affirmation est fausse.

Le 25/12/2022 à 11h 06

(quote:2111774:Trit’)
Là, c’est juste le cas d’AdBlock, pas de tous les bloqueurs de pubs

Tous les adblockers fonctionnent de cette manière, du moins sous Manifest V2, c’est ainsi qu’elles appliquent leurs magie.

et sûrement pas celui d’uBlock Origin, le seul bloqueur que l’on peut recommander.

uBlock Origin est contournable et a déjà été compromis (corrigé depuis), d’une manière général, l’adblocker n’attrape que les fruits à porter de main, c’est une méthode souvent surestimé par certains utilisateurs qui au mieux réduit temporairement la surface d’attaque contre certains acteurs malveillants les moins néfastes, mais qui en créer une autre par la suite (accès à tous tes URLS, confiance dans des listes tiers, leaks, affaiblissement de l’isolation entre les sites etc).

Une approche naïve et faible est tout à fait acceptable si celle-ci se base sur un modèle de menace claire, si tu cherches plus de commodité sur les sites web à cause des pubs gênantes ou si tu veux que les sites se chargent plus rapidement, un adblocker qui filtre et analyse tout les sites peut répondre à tes besoins, mais il faut être conscient des implications de certaines options en matière de confidentialité et de sécurité.

Le 22/12/2022 à 16h 07

Après relecture, je pense avoir fait une erreur de jugement parce que l’article ne suppose pas que E2EE sera à coup sûr disponible pour les utilisateurs de Gmail standards, mais je suppose que ses articles peuvent prêter à confusion.

A voir, je pense que ce n’est pas mal, même si l’email chiffré n’accompli vraiment pas grand chose en règle général.

https://latacora.singles/2020/02/19/stop-using-encrypted.html
https://www.kicksecure.com/wiki/OpenPGP#Issues_with_PGP

Le 22/12/2022 à 15h 49

Il semble que l’article confond Gmail avec Workspace et l’utilise de manière interchangeable, tous les articles Google liés renvoient vers les pages d’aide administrateur Google Workspace, je ne vois pas d’indication que E2EE sera disponible pour les utilisateurs de Gmail standards, considérant que SMIME n’est pas disponible pour les utilisateurs de Workspace.

Google possédera toujours une deuxième clé secrète pour déchiffrer vos e-mails sous la demande des autorités et des gouvernements, mais j’ai lu qu’il s’agirait plus d’une fonctionnalité de conformité qui vous permet de travailler avec des informations personnelles tout en respectant les réglementations comme PCI qui vous obligent à tout chiffrer en transit au repos, je l’ai lu sur Hacker News donc prenez là avec un grain de sel.

Le 09/12/2022 à 13h 47

(quote:2109392:127.0.0.1)
Je ne comprend toujours pas pourquoi regarder une vidéo/stream dans un browser consomme autant comparé à regarder la meme vidéo/stream dans un lecteur externe.

Je m’y connais pas des masses en streaming, mais il te faut forcément une connexion Internet donc une consommation de donnée quelle que soit le lecteur, après, je ne saurais pas affirmer si regarder Netflix dans son navigateur consomme plus que sur l’application DL sur le Microsoft Store (par ex).

Le 09/12/2022 à 10h 14

L’optimisation de la mémoire est toujours bonne à prendre, la batterie également, mais je suis surtout intéressé par l’implémentation de PassKey parce que je pense que le mot de passe est une méthode dépassée avec son lots de problème dont la sécurité, c’est périmé.

Le 04/12/2022 à 20h 03

(reply:2108252:ImpactID) De rien, oui c’est une question d’équilibre entre sécurité, confidentialité et convivialité, si on veut utiliser un gestionnaire tiers, aujourd’hui je recommanderai plus KeePass ou KeePassXC parce qu’il sauvegarde en local, faire des sauvegardes dans un editeur de texte est tout à fait acceptable, c’est ce que je fais, même s’en servir pour faire du copier-coller manuellement, évidemment c’est pas la solution la plus pratique.

Le 02/12/2022 à 06h 58

(reply:2108087:ImpactID) Si Google Passsword Manager réponds à tes besoins, il n’y a probablement pas de raisons de changer, le gestionnaire de Google est pratique de mon côté également parce qu’il est intégré à mon Pixel, ce qui m’apporte de la commodité et ne m’oblige pas à télécharger une application, les alternatives comme Bitwarden ne sont pas plus sécurisés, Google maintient une politique zero trust qui consiste à l’adoption du moindre privilège.

Maintenant j’ai utilisé Keepass et Bitwarden pendant un certains temps et je pense que ce sont de bons services, mais ses fournisseurs ne sont pas une boite magique et leurs base de données n’est pas inviolable, peu importe leurs marketing, à la fin, c’est une question de compromis, prends la solution qui convienne pour toi et n’oublie pas de faire des sauvegardes, ça peut se faire sur un disque dure externe que tu ranges dans un endroit sûr, certains ne veulent pas confier leurs mots de passes à un gestionnaire et préféreront utiliser un calpin, un fichier bloc note ou un tableur et il n’y a pas de mal, parfois, on conseille les gestionnaires de mots de passe trop facilement, la prochaine étape pour moi, c’est passkey pour s’émanciper des mots de passe qui est un vieux concept et qu’on doit partager (même si hachés) avec des tiers.

Je te conseille la lecture de ce billet de blog : https://lock.cmpxchg8b.com/passmgrs.html

Le 01/12/2022 à 17h 08

(reply:2108030:Mihashi)Je sais, si t’es sous Windows ça ne fonctionne actuellement pas sous Firefox, et aucuns navigateurs sur Linux, sur le site t’as un tableau, ça reste une démo.

Le 01/12/2022 à 16h 41

(reply:2108019:Mihashi) T’as bien cliqué sur “Sign in with a passkey” ? Evidemment tu as besoin d’une clé de sécurité valide, mais la démo ne semble pas fonctionner correctement parce que dans mes souvenirs, la dernière fois que j’ai testé, le site me proposait Windows Hello, mais là non, ou alors c’est moi

Normalement, on te propose entre une clé de sécurité externe ou capteur intégré, soit ton phone avec QR Code.

Le 01/12/2022 à 16h 02

(reply:2107997:Mihashi) Je suis d’accord que c’est probablement pas encore bien au point et qu’il faudra surtout sérieusement attendre avant de l’utiliser sur la plupart des services, mais le concept me plait, je l’utilise avec ce que je peux actuellement, ma banque et mon compte Microsoft sans problèmes, je pourrai aussi l’utiliser avec mon compte Google via le clé Titan de mon Pixel, le problème pour l’avoir fait c’est la connexion Bluetooth qui plante une fois sur deux, utilisez deux clés Yubikey serait probablement une option plus pratique, par contre, j’ai pas compris cette histoire de courriel, je ne reçois aucun courriel quand je me connecte avec Windows Hello ou ma clé de sécurité intégrée à mon phone, recevoir un code provisoire par mail, ce n’est pas la même chose.

Le 01/12/2022 à 08h 56

A l’avenir, voici ce que j’aimerais voir arriver et se démocratiser, qu’on se débarasse des mots de passe.

https://www.passkeys.io/

https://twitter.com/alexxubyte/status/1586012428122267648?s=20

Le 22/11/2022 à 13h 17

Ils ont le CCPA en Californie, qui couvre moins d’éléments que le RPGD cela dit, mais beaucoup d’Etats n’ont toujours rien, donc c’est une bonne initiative.

Le 21/11/2022 à 13h 41

(reply:2106093:game1337) C’est une criminelle qui a agit en toute conscience et qui n’a éprouvée aucuns remords lors de son procès, je pense qu’elle mérite ce qui lui arrive, et les emplois liés à la santé devraient lui être interdites à vie, c’est drôle, mais rien qu’à la voir dans d’anciennes interviews, son regard etc, on voit que c’est pas claire, ça puait l’arnaque.

Le 14/11/2022 à 17h 18

oliv5 a dit:

J’ai un pixel, et je ne connais que la fonction “profil profesionnel” pour isoler des applis, je n’ai donc qu’un seul profil supplémentaire et non 5. Tu ne dois donc pas parler de cela. Où trouves-tu ces 5 profils ?

Paramètres > Système > Utilisateurs multiples > Autoriser plusieurs utilisateurs et tu peux en créer 5 au max.

Quel modèle de Pixel as-tu ? Tu utilises bien Android 13 ?

Normalement, tu as besoin d’une app qui fait contrôleur de périphérique comme Shelter pour créer un profile professionnel, elle n’est pas disponible en native, ou bien c’était le cas un temps et c’est terminé, c’est une méthode généralement moins sécurisée que le profile secondaire car le contrôleur dispose d’un accès complet au profil professionnel, mais il permet d’exécuter simultanément des applications dans les profils professionnels et personnels.

https://privsec.dev/posts/android/android-tips/#user-profiles
https://privsec.dev/posts/android/android-tips/#work-profile

Le 14/11/2022 à 15h 35

(reply:2104630:pierreonthenet) Mon commentaire ne faisait pas allusion aux douanes.

PS : La création d’un second profile nécessite l’évaluation de son modèle de menace, sinon elle n’apporte rien, toutes les applications sont déjà installés en bac à sable.

Le 14/11/2022 à 11h 16

(reply:2104579:Gorom) Mince, ca serait donc pas possible sur tous les appareils Android à moins de passer par une solution de contournement cassé comme root, donc il semble que certains OEM veulent empêcher l’accès à cette fonctionnalitée…

De base sur Android stock, tu vas dans Paramètres > Système > Utilisateurs multiples > Autoriser plusieurs utilisateurs. Même cheminement sur GrapheneOS.

Le 14/11/2022 à 09h 04

(reply:2104554:Estya) Je veux bien que l’appli ai besoin d’un minimum pour fonctionner, mais je ne vois pas pourquoi une app de contrôle Covid aurait besoin d’accéder à des choses comme les contactes, micro etc, il est possible que par défaut, l’app ne communique qu’avec des choses comme la localisation et le bluetooth, mais ca vaut le coup de vérifier et de la placer dans un profil disctinct, sinon comme je l’ai écrit plus haut, autoriser les accès temporairement en cas de contrôle.

carbier a dit:

Sur OnePlus tu peux le faire aussi mais il faut débloquer la fonctionnalité.

Sur Pixel aussi, Android ne l’active pas par défaut.

Le plus simple si on est confronté aux problèmes c’est de suivre les recommandations de la CNIL quand même.

Donner des sous pour un tel pré-payé alors qu’il suffit de contenir et de révoquer les accès que l’on ne désire pas, je ne vois pas en quoi la recommendation de la CNIL est la plus simple, mais pourquoi pas, à la fin chacun fait comme il veut.

Le plus simple du plus simple étant de ne pas y aller.

Ah c’est sûr, c’est la solution radicale ^^

Le 14/11/2022 à 08h 24

Guinnness a dit:

Chez Xiaomi il y a une appli qui permet de créer 2 profils totalement indépendants.

Je me méfierai, cette déclaration semble trompeuse, de base une appli est limitée au profile admin, elle ne peut pas créer 2 profiles disctincts de manière fiable comme à l’échelle du système, cela te fait 2 profiles dans le même profile, ca ne sert à rien.

Je ne savais pas qu’Android le permettait en natif.

Les Pixels le font très bien, chaques profiles (5 max) possèdent leurs propres clés de chiffrements et de déchiffrements asymétriques, comme c’est une fonctionnalité propre à Android et pas seulement au Pixel, théoriquement ca devrait fonctionner avec les autres constructeurs Android.

M’enfin je suis pas concerné, le foot ….

De même.

Le 14/11/2022 à 07h 39

barlav a dit:

Tu penses que c’est obligatoire de l’installer

Ce n’est pas ce que j’ai écrit.

mais c’est pas obligatoire de l’autoriser à accéder au téléphone ?

A la réponse de la CNIL, je donne simplement des conseilles plus simples et plus rapides pour limiter ce que l’application peut faire sous Android, si l’application ne fonctionne pas (une sacré saloperie dans ce cas), alors, accordez les accès en cas de contrôle uniquement.

Le 14/11/2022 à 07h 28

C’est peut-être un conseille pour les utilisateurs de iOS, mais sur Android, il suffit de créer un second profile à l’échelle du système, ceci empêchera à l’application de communiquer avec les autres applications utilisés au quotidien par consentement mutuelle, l’application est toujours installé en bac à sable, mais l’installer sur un second profile limite encore plus ce qu’elle peut faire si le modèle de menace l’exige, n’accordez par le traitement des appels et des SMS à la création du second profile et révoquer tout ce que à quoi l’application peut accéder de personnels, contactes, localisation, appareil photo, micro etc, si vous révoquer l’accès, l’application ne peut pas accéder à ses données comme par magie, une fois fini, supprimer l’application comme écrit dans l’article.

Le 31/10/2022 à 11h 08

(reply:2102046:Burn2) Je me le demande aussi, je ne suis pas expert dans la technique et je ne sais pas ce qui bloque exactement, ou si c’est juste parce que OpenSSL est largement utilisé.

Dans mon cas j’utilise Fedora Workstation comme distro GNU et bien qu’il adopte des technologies plus récentes avant d’autres distros comme PipeWire,Wayland et bientôt F-Security qui s’accompagnent souvent d’améliorations de la sécurité, de la confidentialité et de l’utilisabilité, je crois qu’ils utilisent eux-aussi OpenSSL, et ils sont à la version 3.0 avec la version 6, en tout cas, j’ai aucune preuve que Fedora utilise LibreSSL.

Gentoo Linux utilisait LibreSSL, mais son support officiel a pris fin et ils sont retourné à OpenSSL, bien qu’on puisse toujours l’utiliser, bref ça m’intéresse de savoir ce qui coince.

Le 31/10/2022 à 08h 57

Sinon y a mieux, sont fork LibreSSL qui a éradiqué une grande quantité de surface d’attaque inutile présent dans OpenSSL et qui utilise de meilleurs pratiques en programmation.

Le 27/10/2022 à 16h 46

marba a dit:

?

Oui, Signal a été plusieurs fois audité.

https://community.signalusers.org/t/overview-of-third-party-security-audits/13243

Je n’ai pas parlé d’audit seulement de code, j’ai parlé d’audit tout court

Autant pour moi.

Non, pas dans le monde de la sécurité, on n’est pas sécurisé jusqu’à preuve du contraire.

Je comprends ta pensée, mais tu ne peux pas affirmer qu’un programme est malveillant simplement parce que tu penses qu’il l’est, sans des sources avec des recherches techniques et de l’ingénierie inverse, le débat ne fonctionne pas, c’est ainsi qu’on créer le FUD, tu parles d’un killswitch sur WhatsApp, je ne sais pas où tu as lu ça et je ne vois pas la raison qui t’empêche de citer une source, ou alors, soit tu ne l’a retrouve plus, soit tu troll et tu as inventé cette histoire de killswitch.

Le 27/10/2022 à 13h 33

marba a dit:

Oui c’est vrai. Mais tu peux vérifier la build, faire ta build et auditer plus facilement. Ça fait une petite différence.

La plupart des utilisateurs ne vérifient pas les builds et la seule manière viable de vérifier qu’elle ne présente pas de failles de vulnérabilités ou de backdoor serait de procéder à une ingénierie-inverse, en fait, tu ne peux au départ être sûr que si tu as compiler toi-même l’application.

Même les gages avec le chiffrement Signal c’est du bullshit et ça ne vaut rien car pas opensource, pas audité.

Signal a été plusieurs fois audité, mais il me manque des précisions.

L’audit du code connait rapidement ses limites, le code ouvert implique la liberté d’étudier un programme et de le modifier, il ne fourni aucunes garanties sur la sécurité et la fiabilité de ce dernier, bien que la sécurité par l’obscurité soit certainement une mauvaise idée, la disponibilité du code n’a aucun rapport avec l’évaluation de la sécurité.

Whatsapp est plein de backdoor jusqu’à preuve du contraire.

C’est l’inverse, WhatsApp n’a pas de backdoor jusqu’à preuve du contraire, cela ne remets pas en cause les doutes que l’on peut émettre parce que c’est Meta, mais c’est comme en justice, on est innocent jusqu’à preuve du contraire, jamais l’inverse.

Le 26/10/2022 à 16h 12

(reply:2101204:marba) Comme mon VDD, je n’ai pas trouvé de source qui en parle non plus, je ne dis pas que c’est faux, je ne sais pas, mais si tu l’affirmes alors tu l’as forcément lu quelque part (à supposer que la source est vraie).

Je ne comprends pas ta phrase quand tu écris “Je peux pas donner la source c’est pas opensource”, quel est le rapport ? Depuis quand est-ce nécessaire pour citer une source ?

Le 26/10/2022 à 06h 44

(reply:2101048:Cumbalero) Non, je ne fais pas du FUD et je ne suis pas ignorent, mais je conviens que c’est difficile après le marketing et la désinformation sur Lineage parce qu’il est “de-google”.

Ce n’est pas parce que Lineage recoit des MAJ qu’elles sont faites proprement, Lineage réduit considérablement le modèle de sécurité de Android, ce qui est pire, elle fait du théâtre et donne un faux sentiment de confidendialité / sécurité.

Que l’on puisse re vérouiller le BL est une bonne chose, mais je ne vois toujours pas de réel intérêt à son utilisation, il a beaucoup d’autres problèmes.

GrapheneOS nécessite le déverouillage du BT uniquement lors de l’installation pour des raisons techniques, il demande ensuite de le re vérouiller, GrapheneOS nécessite un Pixel de Google parce que ce sont les appareils Android avec la meilleur sécurité matérielle, c’est expliqué sur le site, GrapheneOS ne fait pas dans la demi-mesure, il fourni des atténuations subtancielles de la sécurité et se base sur des modèles de menaces claires, le simple fait de l’installer devrait aussi être étudié selon son modèle de menace.

Le 25/10/2022 à 19h 58

(quote:2101028:::1)
allier google et sécurité dans la meme phrase, bel oxymore quand on sait que “google est l’espion” le plus con du monde..

Il y’a encore des problèmes avec Google, mais je préfère rester dans les faits plutôt que dans le sensationnel et l’idéologie, Google n’a presque pas connu de violations majeurs depuis son existence, leurs victoire qui a maintenu une attaque DDoS d’une extrême ampleur contre leurs service Cloud assez récemment montre encore une fois que Google prends la sécurité de ses produit très au sérieux, pourtant oui, il peuvent en savoir beaucoup sur leurs utilisateurs parce que leurs principal modèle économique est la publicité ciblée, cependant, il faut nuancer que accepter de recevoir de la publicité ciblée ne signifie pas renoncer à la confidentialité, tout les gens n’ont pas les mêmes modèles de menaces et la définition de la confidentialité n’est pas exactement la même pour tout le monde, dire que Google est un espion est exagéré, autrement la réalité serait pire parce que Google a le pouvoir de le faire, beaucoup d’autres entreprises, dont des petites à qui tu peux faire plus confiance, t’espionnes dans ton dos, vendent tes données (dont à Google) et n’offrent pas du tout le même niveau de transparence et de contrôle sur tes données comme Google l’offre, tout n’est pas blanc ou noir, il existe des nuances, Google n’est pas un délinquant de la confidentialité, nourrir la désinformation sur Google, comme sur Apple ou Microsoft ne fonctionnera pas dans un débat avec moi.

j’ai plus rien chez eux, grand bien m’en fasse (lineage sans google)

Lineage OS est un dérivée de Android non sécurisé qui ne protège pas confidentialité, il augmente juste la surface d’attaque, c’est un système d’exploitation qui se concentre sur les fonctionnalités, pas sur la sécurité et la confidentialité, pour ça, le meilleur dans ce domaine est GrapheneOS.

Même une version de Android stock EOL fait mieux que Lineage, tu bénéficies toujours de certains correctifs de Google tout ne violant pas le modèle de sécurité de Android, Lineage affaiblit diverses politiques SELinux et expose l’accès root via ADB, il nécessite un chargeur de démarrage déverrouillé, désactivant ainsi le démarrage vérifié, il n’implémente pas de protection de restauration, Lineage ne fourni généralement pas non plus de correctifs pour le micrologiciels etc.

Cette liste n’est pas exhaustive, les problèmes sont plus nombreux. bien sûr tu peux construire Lineage OS toi-même et tenter de résoudre bon nombre de ses problèmes, mais la plupart des utilisateurs ne seront pas capable de le faire.

Le 25/10/2022 à 12h 47

(quote:2100833:Oby-Moine)
Google force le passe des messages chiffrés de bout en bout sur ses serveurs (que fait-il des métadonnées ?)

Chaque conversations chiffrés doit passer par des serveurs qui impliquent la confiance, je ne sais pas pour les métadonnées, mais Google a un niveau de sécurité de classe mondiale avec l’application d’une politique zero trust qui consiste à l’adoption du moindre privilège, bien sûr, ce n’est pas blanc et noir.

Il force l’utilisation de ce service aux utilisateurs (un petit pop-up rapidement accepté et vite oublié).

Il semble que Google soit celui que prend le problème des SMS au sérieux, je suis sûr que nos FAI en ont quelque chose à foutre, c’est mal n’est-ce pas, on peux aussi parler de Apple qui refuse de l’implémenter dans iMessage pour offrir une compatibilité iOS / Android.

il communique assez mal sur cette technologie pour les utilisateurs lambda.

Je ne sais pas, c’est possible.

Et à l’utilisation j’ai plusieurs bug d’envoie (message marqué comme envoyé mais non reçu)

Je ne peux pas commenter non plus, pas de problèmes de mon côté.

Qu’est ce qui me dit que ce service ne sera pas arrêté dans 6mois ?

RCS n’est pas Google.

(quote:2100914:dvr-x)
Aucune solution ne sera jamais désintéressée. Si google/apple adoptent RCS, ca ne m’empêchera pas de continuer à utiliser Signal, tout comme les utilisateurs Wapps continuerons à utiliser leurs groupes. Je ne dis que c’est top, mais franchement, je trouve que ca va de l’avant, et l’écarter juste parce que Google fait parti de l’équation, ce n’est pas très malin. Parce que de toute façon, sur le SMS, il font déjà partie de l’équation de façon bien majoritaire.

Je partage ton point de vue.

Thorgalix_21 a dit:

Signal peut envoyer des SMS ? Même sur iOS ?

La fonctionnalité va être supprimé, le SMS n’a pas sa place dans une application de messagerie conçu pour la sécurité et la confidentialité des échanges, ça ne fait que semer le doute et utiliser le SMS via Signal ne le rends pas mieux.

Le 25/10/2022 à 06h 11

(quote:2100740:Oby-Moine)
C’est fou, Google refait exactement les mêmes erreurs qu’avec son réseau social Google plus 😅

Pourquoi ? Autant j’avais du mal à voir l’intérêt de Google Plus, autant le chiffrement opportuniste par RCS ne peut pas être mauvais à prendre selon moi, tous mes contactes n’ont pas Signal (ou whatsapp) et RCS me permet d’éviter un protocole incroyablement obsolète qu’est le SMS, maintenant ce n’est pas possible avec tous mes contactes, d’ou l’intérêt d’un déploiement de RCS à plus grande échelle et compatible entre les appareils.

Le spam publicitaire est un problème, mais j’en reçois jamais de mon côté, alors je me demande si l’ID publicitaire est en cause.

Le 25/10/2022 à 06h 02

Recevoir des annonces dans Messages serait dû à l’ID publicitaire ? Voici un petit guide pour le désactiver : https://privsec.dev/posts/android/android-tips/#disable-advertising-id

Le 24/10/2022 à 08h 25

Je me suis abo y a un mois environ et j’y trouve mon compte, j’utilise régulièrement Youtube Music en complément de Bandcamp, possibilité d’écoute en haute qualité (256 kbs, ca reste très bien) etc, approche du blocage des publicités qui ne réduit pas la sécurité comme avec une extension ou un frontend sur mobile et plus sain car elle ne coupe pas les revenues des Youtubeurs, possibilité de DL etc, je trouve cette offre plus intéressante qu’un Spotify où pour presque le même prix, je n’ai que la musique, donc pour le moment je garde.

Le 20/10/2022 à 08h 45

(reply:2099935:pamputt) Tu fais du FUD.

Techniquement Mark a raison, le truc est que iMessages n’est pas une application de messagerie conçu sur la sécurité comme élément essentiel à l’esprit, donc la comparaison me fait un peu marrer et sa réponse est obvious.

Le 18/10/2022 à 12h 14

(reply:2099566:Hugues1337) Rien dans l’article ne prouve que le chiffrement opportuniste par RCS n’est pas mieux pour des raisons de sécurité / confidentialité qu’aucun chiffrement du tout, il s’agissait seulement d’un problème rencontrés par certains utilisateurs en Inde dont Google s’est ensuite occupé (selon leurs dires), je ne reçois jamais de messages publicitaires par RCS, aussi, j’évite de me fier aux sites techs aléatoires où les journalistes ne voient pas beaucoup au delà du marketing.

Le 17/10/2022 à 15h 30

(reply:2099251:Ghimo) Je ne m’intéresse pas aux dramas, je retiens seulement que Apple refuse d’implémenter RCS dans iMessage pour qu’un chiffrement opportuniste puisse s’opérer entre les utilisateurs de Messages pour Android et de iMessage sur iOS et je trouve cela regrettable, Signal est une meilleure recommandation, mais tout le monde ne l’utilise pas et le chiffrement par RCS vaut mieux que rien du tout.

Le 17/10/2022 à 06h 36

La réponse de Apple à la proposition de Google est vraiment mauvaise et malhonnête, parce que le chiffrement opportuniste par RCS est une bonne idée, mais visiblement Apple est décidé à ce que ses utilisateurs enfermés dans leurs écosystème ne puissent pas utiliser une fonctionnalité utile avec leurs contactes sur Android.

Le 13/10/2022 à 06h 08

(reply:2098746:R4VEN) C’est ce que j’ai écris dans mon commentaire précédant, n’utilisez pas Signal pour les SMS, je pense donc aussi qu’il est logique que Signal supprime cette fonctionnalité pour un maximum de clarté.

Google Messages est un bon choix pour les SMS/MMS, parce qu’il dispose d’un système anti-spam assez efficace et que le chiffrement opportuniste par RCS vaut mieux que rien.

Le 10/10/2022 à 16h 47

C’est pas vraiment le genre de truc que je vais utiliser, mais why not.

Carpette a dit:

ils feraient mieux de résoudre les bugs existants notamment par rapport aux MMS et SMS car ils en cumulent et rien ne change depuis des mois/années.

yannickta a dit:

J’ai abandonné Signal en client SMS à cause de ça, il y a au mois trois ans. Ça n’aurai donc toujours pas évolué ? J’ai aussi abandonné Wire (a mon sens plus intéressant) car ils ne s’occupaient que de la partie “pro” du service. C’est moi, où les fournisseurs de messagerie ouverte et alternative aiment saborder leurs services ?

Vous ne devriez pas permettre à Signal de lire et d’envoyer des SMS/MMS, utilisez votre application par défaut pour cela afin de garder une distinction claire entre les conversations sécurisées et non sécurisées, Signal n’utilise pas non plus de protection contre le spam par SMS, Signal n’est pas une application SMS et vous ne devez pas la considérer comme telle, même si Signal est techniquement capable de les recevoir, même chose pour les alternatives comme WhatsApp.

Le 11/10/2022 à 05h 57

Elle date pas leurs info ? C’était déjà la recommandation pour les CPU AMD.

On aurait apprécié également des informations précises sur l’impact de ces fonctions sur les jeux.

Yep un peu de contexte ferait pas de mal, je n’avais pas l’isolation du noyau et la VMP d’actifs durant mes premières sessions sur W11, et après les avoir activées pour notamment installer Windows Sandbox, je n’ai remarqué aucune différence en jeu, donc je laisse comme c’est.