Le 03/10/2022 à 08h 59

ForceRouge a dit:

Mettre une bannière et ne pas la respecter, c’est ouvertement ne pas respecter le RGPD. Autrement dit, même si techniquement, ça ne garantie rien, devant un juge, c’est empêche tout débat.

Je suis d’accord.

Le 03/10/2022 à 06h 37

Oui, la bannière de consentement au cookies ne fonctionne pas et ne prouve rien, elles sont là pour donner un faux sentiment de contrôle sur ses cookies.

Le 27/09/2022 à 08h 58

tgirardin a dit:

Ca reste quand même un traitre ou un agent double.

Il ne l’est pas, Snowden était simplement un employé de la NSA, un emploi qu’il respectait beaucoup, il a constaté par lui-même que son employeur violait les lois et que toutes les communications privées étaient analysées et stockées pour la surveillance, ca l’a beaucoup choqué, alors il a décidé de tout balancé, il l’a d’abord révélé à un journaliste anglais puis il est ensuite devenu un lanceur d’alerte.

Si aujourd’hui 95% des sites web utilisent HTTPS pour sécuriser le trafic et améliorer la confidendialité, c’est grâce aux révélations de Snowden sur les diverses violations, tu peux le remercier.

Le 22/09/2022 à 11h 19

jpaul a dit:

Et le menu démarrer qui te force à avoir des recommendations et des trucs épinglés. Oui tu peux désactiver les deux mais tu te retrouves avec un menu démarrer vide et deux messages t’informèrent que c’est désactivé, au lieu d’envoi ter directement la liste des applications.

Hum, j’ai aussi désactivé les recommendations, j’ai juste laissé le mode épinglé et il ne me gêne pas, je m’en sers pas des masses de toute manière, j’ajoute les outils que j’utilise régulièrement dans ma barre des tâches parce que je n’aime pas laisser d’icônes sur le bureau,

Le 21/09/2022 à 17h 29

Me concernant, je n’ai aucuns problèmes avec W11, sauf peut-être le fameux clique droit où je dois cliquer sur “plus d’options” pour tout afficher, mais je commence à m’y habituer et comme je n’ai pas envie de bidouiller dans la base de registre… Ca changera peut-être avec une MAJ. Au taf on utilise majoritairement W10 et je remarque les petites différences.

Le 20/09/2022 à 19h 25

(reply:2094310:SebGF) Il n’y a pas eu de fuite, cette fonctionnalitée envoie simplement les données saisies par l’utilisateur vers les serveurs de Microsoft et de Google (Edge et Chrome), et comme on est pas sûr à 100% de comment elles sont traitées, mieux vaut désactiver cette fonctionnalité si on s’en soucie et attendre d’y voir plus claire, c’est peut-être un problème dans le code de Chromium, donc Brave et d’autres pourraient être concernés si c’est le cas.

Le 20/09/2022 à 19h 04

dyox a dit:

C’est tout frais : https://www.01net.com/actualites/le-correcteur-orthographique-de-chrome-et-edge-fait-fuiter-vos-mots-de-passe.html

Encore un titre putaclick, pas étonnant venant de 01net.com. J’ai lu l’info sur Ghacks, je navais pas vu cette fonctionnalité dans Chrome et elle était désactivée par défaut, donc j’ai rien touché, mais elle était activée dans Edge, je ne crois pas avoir quelque chose d’activé de ce type sur Firefox.

Le 19/09/2022 à 16h 48

Gorom a dit:

Pour Google, je ne me prononce pas car je n’utilise pas ses navigateurs, je ne sais pas si il existe un système de mot de passe maitre.

Il me semble que oui, je l’ai déjà lu, mais comme je m’en sers pas quel que soit le navigateur que j’utilise, faudrait que je regarde la procédure, globalement, j’utilise Edge sur W11, Chrome sur Android et Firefox sur Fedora Workstation, j’aimerais que Google ajoute à Chrome une bascule pour désactiver JIT et que je puisse créer plusieurs instances du navigateur, c’est très facile à faire avec la version desktop.

A noter tout de même que stocker ses mots de passe via un compte Google est déjà une forme de synchronisation. A ce titre, je conseille vivement d’activer la double authentification sur le compte Google.

C’est vrai tu as raison, j’utilise le 2FA (ainsi que pour mon compte Microsoft), d’ailleurs, j’ai la possibilité d’utiliser la clé privée de mon Pixel (basé sur Titan M) pour déverrouiller mon compte, c’est l’approche la plus sécurisée que j’ai actuellement en ma possession, le problème, c’est que ma connexion Bluetooth (oui je sais les problèmes avec le Bluetooth) a tendance à planter une fois sur deux, donc parfois, c’est fastidieux et ça m’énerve, c’est le seul défaut.

Le 19/09/2022 à 16h 24

(reply:2094099:Gorom) Ok merci, oui c’est ce que je savais plus ou moins déjà, mais comme je ne partages mon PC avec personne, et qu’au taf, je n’enregistre jamais mes mots de passes dans le navigateur, je n’utilise pas le mot de passe maître, mais je comprends son utilité dans certains cas, sur mon Pixel par exemple, le tel me demande de valider mon empreinte digitale (ou code PIN) pour accéder à des mots de passes enregistrés dans mon compte Google, c’est si jamais quelqu’un aurait un accès physique à mon appareil, le mot de passe maître pourrait améliorer la sécurité / confidentialité vis à vis du fournisseur de service lors de la synchronisation, ce que je n’utilise pas non plus.

Le 19/09/2022 à 14h 09

eglyn a dit:

Pfff tant de problèmes alors qu’il suffit de rien noter nulle part et de cliquer sur “j’ai oublié mon mot de passe”.

Meilleur méthode, mêttre 1234 partout et c’est bon, rien besoin de stocker et tu l’as toujours en tête, facile et besoin de faire confiance à personne, t’es safe

Le 19/09/2022 à 12h 38

Gorom a dit:

Éventuellement sur Firefox, il vaut mieux dans ce cas activer le mot de passe maitre qui pose un obstacle au déchiffrement du coffre si le mot de passe en question est suffisamment robuste. Je ne sais pas ce qui est possible de ce côté en option native pour les navigateurs basés sur Chromium

Le mot de passe maître chiffre uniquement en local, non ? J’ai toujours compris que c’est une fonctionnalité utile si tu partages ton PC avec d’autres personnes physiques, il y a les documentations de Mozilla, Google et Microsoft concernant la sécurité du stockage des mots de passes dans le navigateur, maintenant j’ai pas tout en tête.

Le 19/09/2022 à 06h 30

(reply:2093953:JnnT) C’est pas faux, les gestionnaires en ligne peuvent être très pratiques, mais ils ne sont pas obligatoires pour créer des mots de passes robustes, uniques, en faire des sauvegardes et les garder en sécurité, les gestionnaires sont des surfaces d’attaques eux-mêmes et obligent à faire confiance à la sécurité de l’entreprise, si on passe les déclarations marketing, même si des gestionnaires comme Keepass et Bitwarden sont réputés et relativement dignes de confiance, il y a aussi le problème du stockage sur le cloud (Keepass stock en local par défaut, ce qui est peut-être mieux), à la fin, chacun peut trouver sa méthode qui lui convient, mais je dirais aujourd’hui que recommander n’importe quels gestionnaires de mots de passes, ou qu’en utiliser un est forcément mieux que de ne pas en utiliser, sont des déclarations très vagues voir dangereuses.

Le 17/09/2022 à 15h 32

(reply:2093868:Trit’) Je vois que j’ai apparement bousculer des croyances, c’est pas grave, je n’essaye de convaincre personne, ni qu’on m’imite (j’ai une utilisation assez basique du web, je n’utilise pas de super logiciels / configurations etc). Ton lien est marrant, merci pour ce partage, peace.

Le 17/09/2022 à 08h 03

(reply:2093811:Trit’) PS : Chrome (et Edge aussi il me semble), utilisent une fonctionnalité qui bloque les annonces trompeuses et malveillantes, mais pour être critique, pour moi ce n’est pas au point, ils doivent vraiment l’améliorer parce que l’effet constaté dans mon cas était plutôt aléatoire, sur le même site avec des conneries en arrière plan, parfois ça bloque et parfois non, mais l’approche ne me déplait pas, maintenant je ne me suis pas renseigné sur comment ça fonctionne exactement.

Le 17/09/2022 à 07h 45

paolovador a dit:

Détrompez vous, uBlock Origin bloque bien plus de trackers et pixels que les configurations “strictes” des navigateurs. C’est un indispensable.

Non il n’est pas un indispensable, même si uBO fait mieux que les autres extensions similaires, le blocage basé sur des listes (qui reste l’approche de uBO) atteint rapidement ses limites, le blocage de quelques domaines de suivi n’empêche pas réellement le suivi, au mieux, c’est un palliatif qui réduit faiblement l’exposition en injectant ses propres problèmes (confiance dans l’extension, confiance dans des listes tiers etc), c’est pourquoi le navigateur Tor n’utilise pas de bloqueurs de trackers.

Le blocage basé sur des listes ne corrigent pas les problèmes de confidentialité / sécurité sur le web, énumérer le mal ne fonctionne pas.

Les extensions de blocage ne peuvent pas non plus améliorer la sécurité, en fait, ils l’aggravent en affaiblissant l’isolation des sites, par ailleurs, je n’ai pas écrit que les configurations “strictes” des navigateurs font mieux, le blocage des trackers dans Firefox, Edge ou Vivaldi est la même approche surestimé parce que aussi basé sur des listes, ses fonctionnalités sont du théâtre sans modèle de menace claire, elles sont là pour que tu te sentes mieux.

C’est quoi la modélisation des menaces :

https://privsec.dev/knowledge/threat-modeling/
https://www.privacyguides.org/basics/threat-modeling/

PS : SI tu pars dans l’OPSEC, la modélisation des menaces est le b.a.-ba.

Edge par contre propose de désactiver JIT dans le moteur de rendu dans lequel d’autres atténuations sont activés, c’est une très bonne fonctionnalité de sécurité et je trouve regrettable que Firefox et Chrome n’aient pas encore implémentés de bascules pour permettre aux utilisateurs de l’activer facilement.

(quote:2093811:Trit’)
Détrompe-toi : les bloqueurs de pubs ne sont rien de moins que les préservatifs du Web. Tu irais à une orgie ou un club d’échangisme sans capote ? Ben, tu vas pas sur le Web sans bloqueur de pubs si tu tiens à garder un ordi sain, c’est aussi simple que ça. Bien sûr, c’est pas une protection parfaite (qui n’existera de toute façon jamais), mais c’est toujours mieux que rien du tout.

Je te rassure, il ne va rien t’arriver de grave en navigant sur le web sans aucuns blocage des publicités, j’ai fais l’expérience avec Chrome, avec le temps je suis devenu plus tolérant aux publicités sur le web, ça ne me dérange pas de voir des annonces un minimum en accord avec mes hobbies comme une carte mère, un processeur ou un jeu vidéo, exactement comme la bannière sur Next Inpact, ce n’est pas de la malveillance, et si des publicités me gênaient vraiment, il me suffisait de désactiver Javascript, Mozilla a supprimé cette option pour une raison que j’ignore, c’est pourtant pratique, désactiver Javascript réduit par ailleurs énormément la surface d’attaque, mais il casse la plupart des sites.

Le 16/09/2022 à 11h 29

(quote:2093679:Trit’)
Ça, puis la liste d’IDCAC pour les bloqueurs comme uBlock Origin (moins efficace que l’extension, cela dit) et la liste « Adguard Annoyances ».

Non, mais l’intérêt de cette extension était avant tout de ne pas afficher (ou en tout cas, dégager rapidement de notre vue) ces fichus bandeaux, voire placards de demande de consentement aux cookies ! Et par défaut, elle les rejetait, ou n’acceptait que ceux strictement nécessaires : elle ne se contentait pas juste de tout accepter par défaut, au revoir (sauf dans les cas extrêmes où il n’y avait que cette possibilité).

Ah ok, effectivement ses bandeaux de cookies mal conçues (et probablement inefficaces en pratique) et surtout chiant pour la plupart des gens, je vois l’idée.

Et là, ben… S’il faut laisser Avast! se servir de notre historique de surf pour le revendre à des pubards, en échange d’un Web moins pollué visuellement, ben… Si on pouvait éviter ça, ce serait préférable (ce qui est la raison pour laquelle j’ai dégagé Ghostery, Stylish et AdBlock+ pour les remplacer par Disconnect, Stylus et uBO, au passage ; et ne parlons pas de WoT, qui s’est aussi rendu coupable de ça !).

Je crois que Disconnect est mort depuis belles lurettes, en tout cas je ne vois pas de raison de l’utiliser, en fait uBlock Origin seul suffit, de mon côté j’ai tout viré, parce que c’est juste essentiellement pour la commodité, les adblocker / anti-tracker ne peuvent pas assurer la sécurité / confidentialité et j’ai pris conscience que j’en ai pas besoin dans mon cas, du moins actuellement.

Franchement, c’est trop bête. Il y a bien un gars qui s’est lancé dans un fork, mais il est loin d’être utilisable au quotidien, actuellement (fichier marqué comme corrompu sur Firefox, et avertissement de dépréciation de Manifestv2 sur Chrome)…

Je ne connais pas, donc je n’ai pas d’avis sur le sujet ^^

Guinnness a dit:

Jamais testé Krita, il me semble que c’est plutôt orienté “peinture numérique”, ça donne quoi par rapport à un Gimp que je continue à trouver imbitable, pour juste de la retouche photo de base ?

Perso je me sert de Photoflare pour faire les 2-3 trucs basiques qui restent après Rawtherapee mais je suis toujours preneur d’alternatives valables.

Krita et Gimp sont très différent, Krita est effectivement opti pour la peinture numérique, ce que je fais, Gimp par contre j’ai jamais été fan de l’interface, Photoshop a l’avantage d’être à la fois pour le dessin et la retouche photo, j’ai les deux.

Le 16/09/2022 à 08h 52

Je continuerai à me servir de ma suite Adobe cracké, mais en parallèle, Krita est par ex une très bonne alternative à Photoshop, il y a aussi Inkspace pour Illustrator, mais ce dernier domine toujours l’argement l’environnement pro.

(quote:2093670:Trit’)
Autre rachat qui aura fait grand bruit, hier : celui de l’extension « I don’t care about cookies » (pour dégager vite fait ou masquer les bandeaux de cookies) par… Avast!, le soi-disant éditeur d’anti-virus (lui-même racheté par Norton il y a quelques années) qui a déjà été surpris en train de revendre les données des utilisateurs, faire du MITM dans les connexions HTTPS et faire tourner un moteur JavaScript en mode noyau dans Windows…

Les sales notes pleuvent sur la boutique d’extension de Mozilla, et je doute qu’elle continue à être recommandée par ces derniers bien longtemps… Il paraît que Consent-o-Matic ferait un bon successeur, à voir.

C’est bien vrai, je rajouterai cela dit que les extensions de cookies ne sont plus nécessaires depuis que la plupart des navigateurs permettent de supprimer les cookies/données des sites à la fermeture, ce qui est, une approche beaucoup plus saine.

Le 15/09/2022 à 11h 17

(reply:2093487:TabDambrine) A moins de rendre disponible pour les utilisateurs qui le veulent les services Google Play strictement en bac à sable comme le fait GrapheneOS, Play Service a de base des privilèges élevés et Chrome/Google search est livré avec, donc les fabricants doivent répondre aux conditions de Google s’ils veulent Play Service intégré à leurs produits, maintenant les OEM ne sont pour la plupart pas intéressés pour vendre Android sans les services Google parce qu’ils répondent à des besoins, un exemple contraire est Nitrokey qui vends des Pixel avec GrapheneOS comme OS stock, mais parce que c’est un service qui vends des produits liés à la sécurité / confidendialité.

Un autre problème est la bataille difficile des magasins alternatives sur Android en raison de la domination du GMS. Il y a la boutique open-source Accrescent en phase de dev, qui se préocupe de proposer une alternative viable à la boutique Google Play, qui se concentre sur la confidendialité et aussi la sécurité qui fait défaut à F-Droid.

Le 15/09/2022 à 05h 52

J’ai pas suivi l’affaire alors des trucs m’échappent, mais on parle de quels constructeurs exactement ? De plus, Android (AOSP) n’étant pas lié aux services Google Play, les développeurs Android n’ont aucune obligation de les utiliser, concernant le moteur de recherche, je pense qu’il a ses qualités et ses défauts, c’est facile de changer et dans l’immédiat chacun choisi ce qu’il veut, maintenant, oui, il est très (trop) mis en avant depuis des lustres, du coup il obscurcit les autres.

Le 07/09/2022 à 20h 45

Bonne continuation pour ton nouveau chapitre Marc ! Au plaisir de te relire un jour.

Le 06/09/2022 à 12h 01

(reply:2091511:OlivierJ) Donc tu passes par le CPU ? J’avais lu qu’il fallait une RTX 3000 ou un RX 6000 pour encoder, j’ai un R7 3700X + RX 5700, durant l’encodage en AV1 via SVT-AV1, j’ai un message d’erreur qui m’indique que l’encodeur met trop de temps à encoder, selon un topic du forum de OBS sur le même sujet, cela vient d’un problème de performance, donc ma config ne serait pas assez puissante.

Le 06/09/2022 à 11h 46

(reply:2091479:vivienfr) Le problème de l’AV1, c’est qu’il restera cantonné à une niche tant qu’il sera uniquement compatible à partir des RTX 3000 / RX 6000.

Le 05/09/2022 à 12h 51

(reply:2091345:Vekin) Ceci dépends essentiellement de l’utilisation (fréquence, nombre de contacts, nombre de messages envoyés etc), mais oui le volume de métadonnée stocké peut être important et causer par la même occasion une surface d’attaque supplémentaire qu’il n’y a pas chez Signal.

Le 05/09/2022 à 08h 52

(reply:2091254:ForceRouge) WhatsApp utilise le même chiffrement de bout en bout que Signal, mais il stocke les métadonnées, aussi, il pourrait avoir une plus grande surface d’attaque.

Le 05/09/2022 à 10h 28

(reply:2091293:Xire) Il y a eu des problèmes au début, mais ca semble réglé parce que je n’ai pas constaté de différences avec mon R7 3700X + RX 5700. TPM 2.0 et la virtualisation sont activés.

Le 19/08/2022 à 11h 01

(reply:2089393:R4VEN) Je ne sais pas si c’est de la com, mais il me fait un peu penser à Rob Braxman, le même genre d’opposé polaire de la fiabilité et d’incarnation de l’effet Dunning Krueger.

Le 19/08/2022 à 07h 09

R4VEN a dit:

Wow ça faisait des années que j’étais pas passé sur ce site lol, ça respire tjs pas la qualité. Il dit 2 fois que c’est une application Suisse (Wtf ??), il indique qu’il y a “une option VPN proposée” (Wtf ??) et l’article a de nombreuses fautes. Je vois que ça n’a pas changé, je ne comprendrais jamais que ce site ait une telle audience 🙄.

Le site me dit vaguement quelque chose, en tout cas, Damien Bancal semble bien porter son nom, aux vues des fautes grossières qui peuvent être vérifiés en deux cliques sur Google, je me dis que les autres articles doivent être bidonnées eux-aussi, clairement un site qui mérite de fermer avec la démission de son auteur pour imcompétence journalisitique grave + fausses informations.

PS : Sa phrase d’accroche “S’informer, c’est déjà se sécuriser !” n’a aucun sens et signiferai plutôt l’inverse ici haha.

Le 16/08/2022 à 20h 38

Fabimaru a dit:

Le projet Samba est un exemple typique de rétro-ingénierie. L’équipe a dû déterminer le fonctionnement du partage de ressources en réseau du système d’exploitation Microsoft Windows sans avoir accès aux spécifications techniques officielles. Ils ont donc dû les déterminer puis les traduire sous forme d’un programme informatique. Il en va de même pour le système de fichier NTFS.

Ca semble intéressant, encore faut-il que suffisament de personnes soient impliqués pour le faire parce qu’on est pas rendu si on doit attendre que d’autres le fassent sur leurs temps libres et le mobile est très utilisé, Qualcomm est très actif, ils pourraient prolonger les mises à jours de leurs SoC, mais ils ne le font pas.

Le 16/08/2022 à 12h 41

sneakyB a dit:

Màj pas encore dispo pour mon Pixel 6.

Si tu ne l’as pas déjà fait, va dans paramètres, sécurité, mise à jour de sécurité pour faire une recherche manuelle.

Le 16/08/2022 à 10h 00

Soriatane a dit:

Il existe toujours la rétro-ingénierie pour palier au défaut Qualcom.

La rétro-ingénierie sert à analyser un programme pour y déceler d’éventuelles vulnérabilité, c’est très utile oui, bien plus que lire du code, mais je ne vois pas en quoi cela corrige les défauts de Qualcomm, la seule manière viable serait que Qualcomm prenne en charge le support pour 5 ans.

Mais je pense que le fond du problème c’est que le pouvoir public devrait imposer une mise à jour de 5 ans des pilotes (ou obliger à libérer les sources). Même Google n’a pas réussi à leur imposer un suivi de plus 2 ans, il me semble.

Je ne sais pas si c’est possible, je suppose que ça serait bien oui, il faudrait que certains constructeurs cessent avec des affirmations fallacieuses pour commencer.

Si Fairphone ne fait que les mise à jour logiciel ( notamment d’Android) et pas celle du matériel. Cela les démarque déjà de bon nombre des fabricants qui ne font plus rien au bout de 2 ans.

Avoir des mises à jour logiciel sans la maintenance du SoC n’est pas un suivi approprié de toute manière.

Le 16/08/2022 à 09h 16

(reply:2088868:damaki) Ca ne fonctionne pas ainsi, un suivi approprié pour les mises à jour de sécurité est impossible si le SoC n’est plus activement maintenu, ce n’est pas un support communautaire ou autre qui corrigeront le problème et le micrologiciel est 100% propriétaire, il n’y a rien d’ouvert là dedans.

Qu’il ai reçu Android 11 n’a aucun rapport et c’est une version de Android désormais obsolète en matière de sécurité de toute façon (mais elle est toujours utilisable).

https://nitter.it/DanielMicay/status/1444028533186117633
https://privsec.dev/os/android-tips/#phones-to-avoid
https://grapheneos.org/faq#legacy-devices

Le 16/08/2022 à 08h 52

(quote:2088857:Oby-Moine)
😘 merci au top cet article approfondi :)

De rien !

Soriatane a dit:

Fairphone va essayer de maintenir la sécurité pendant 5 ans même si le fournisseur des pilotes ne le fera que 2-3 ans. Ils comptent sur la communauté d’où un partenariat avec /e/ (alias Murena) pour élargir leur base de paires de yeux pour les épauler.

Ils ne peuvent pas le faire, le système sur puce qu’ils utilisent (Qualcomm Snapdragon 750G) n’a que 3 ans et le SoC était déjà vieux quand le téléphone est sorti, le Fairphone 4 a bénéficé au mieux de 2 ans de mises à jour de sécurité à sa sortie, le reste, ce sont des affirmations trompeuses reprisent ensuite par les journalistes qui ne regardent pas au délà du marketing.

Le 16/08/2022 à 08h 30

damaki a dit:

Avoir un téléphone Android qui fonctionne 5 ans après sa sortie, c’est bien mais avoir un téléphone qui a des mises à jour de sécurité, c’est encore mieux. Il n’y a à ma connaissance que Fairphone qui propose à ce jour 5 années de support sur son Fairphone 4, et encore, tout reste à prouver pour eux.

C’est faux, Fairphone est trompeur sur ce point :
https://nitter.it/DanielMicay/status/1444028533186117633

Ça n’est pas parce qu’ils le disent qu’il le feront vraiment

Exacte.

Le 16/08/2022 à 07h 50

La MAJ est en cours, je ne me suis pas encore renseigné sur les nouveautés de Android 13, mais je suis tombé sur cet article très détaillé si ça intéresse : https://blog.esper.io/android-13-deep-dive/

Le 10/08/2022 à 08h 36

(quote:2087887:33A20158-2813-4F0D-9D4A-FD05E2C42E48)
Je viens à l’instant de prendre une photographie de l’écran où ton message est affiché. Comment une application peut-elle bloquer cela ?

Ok je vois, la fonctionnalité précise bien la capture d’écran mais effectivement c’est possible dans ce cas de figure, la personne doit vraiment avoir de vraies motivations pour le faire, mais oui c’est contournable et je n’y avais pas pensé.

Ca tombe bien, ce n’est pas ce que j’ai dit. J’ai juste dit que si le contenu complet est envoyé, puis masqué par du code tournant en local, il est possible via F12 de retrouver ce qui a été envoyé (onglet “network”, sous-onglet “preview”). De là aucun JS ou autre ne peut venir t’interdire de copier le contenu.

Tu parles de la version web app ? Il faudrait tester.

Le but du délai n’est pas d’interdire une capture, mais de donner à l’émetteur une heure de réflexion avant même d’envoyer le contenu sensible. Après une heure, les esprits se sont calmés, et on a l’occasion de revenir sur sa décision. Si on décide finalement de ne pas envoyer la photo, le destinataire ne peut pas la copier.

Supposer n’est pas une bonne approche en sécurité/confidendialité.

Le chiffrement de bout en bout interdit seulement les tiers d’accéder au contenu. Le destinataire légitime quant à lui a le pouvoir absolu sur le contenu une fois qu’il l’a reçu.

Tu fais confiance à la personne à qui tu envois le message par défaut, ca ne peut pas fonctionner autrement, oui aucun chiffrement ne te protégera d’avoir envoyer un message à une personne malveillante, et à quoi cela servirait si ton message est illisible par le destinataire.

Le 10/08/2022 à 07h 25

(quote:2087862:33A20158-2813-4F0D-9D4A-FD05E2C42E48)
Ils me feront toujours rire, les développeurs qui affirment qu’ils peuvent bloquer une fonction aussi basique qu’une copie d’écran. Elles me feront toujours pleurer, les utilisatrices qui croient que les développeurs peuvent bloquer une fonction aussi basique qu’une capture d’écran.

La fonctionnalité chez Signal fonctionne très pour l’avoir essayé, les devs chez WhatsApp peuvent très bien le faire aussi.

Je sais pas vous, mais moi je tombe de plus en plus souvent sur des sites qui ont un popup “veuillez désactiver votre bloqueur de publicité” qui masque le contenu. C’est bien, mais comme le masquage est fait côté client, il suffit de faire F12 pour retrouver le contenu HTML complet. Ah, et y’a celles qui bloquent le clic droit aussi, pour interdire “save as”… Ca ne donne pas confiance en les applications qui vont soi-disant bloquer les copies d’écran…

Les outils de dev ne te permettent pas de bloquer un popup.

La seule solution un peu raisonnable pour l’envoi de contenu sensible (en tout cas plus raisonnable que le simple fait de marquer un contenu comme éphémère) serait que Whatsapp bloque l’envoi pendant 1 heure, sans possibilité de passe-droit. L’émetteur a une heure pour réfléchir aux implications de son envoi et doit confirmer en tapant “j’assume les conséquences” avant et après le délai d’une heure.

Il suffit de faire la capture d’écran passé ce délai, la seule solution viable pour l’envoi de contenu sensible est le chiffrement de bout en bout, ce que WhatsApp fait déjà, le blocage de capture d’écran fonctionne parfaitement sur Signal et il devrait en être de même sur WhatsApp, ce n’est quelque chose d’impossible à bloquer.

Le 08/08/2022 à 07h 03

Le mode qui désactive JIT est activable dans les options depuis avant la version 104, et il est également possible de le faire sous Firefox et sous les autres navigateurs Chromium depuis un bon moment, Microsoft qui conseille le mode normal, c’est la même chose que Mozilla qui conseille le mode standard pour sa protection renforcée contre le pistage, dans la pratique, c’est très rare que le mode stricte nuise à l’expérience en cassant des sites, et étant donné que JIT constitue une grande surface d’attaque et que bloquer Javascript pour tous les sites n’est pas réaliste, le mode stricte est conseillé, à noter cependant qu’il pourrait faciliter la prise de l’empreinte numérique.

Pour le désactiver sur Chrome, vous devez ajouter un flags :
https://www.chromium.org/developers/how-tos/run-chromium-with-flags/

–js-flags=“–jitless”

Sur Firefox, dans about:config :

user_pref(“javascript.options.ion”, false);
user_pref(“javascript.options.baselinejit”, false);
user_pref(“javascript.options.native_regexp”, false);
user_pref(“javascript.options.asmjs”, false);
user_pref(“javascript.options.wasm”, false);

Le 22/07/2022 à 09h 05

(reply:2084778:wanou2) GPay et Google Wallet ont fusionnés, et Google a repris l’ancien nom, vu que sur mon Pixel, j’ai déjà la fonctionnalité Gpay par défaut et qu’elle fait le même taf, installez l’appli via le Play Store me semble peu pertinent pour mon usage, mais je n’ai aucune idée si c’est pareille pour les OEM tiers, j’essaye de comprendre l’intérêt de cette appli en fait, donc je suppose qu’elle est là pour les autres modèles Android (Samsung, One Plus etc). Si j’avais un vieux Sony sous Android 9, je n’utiliserai pas le paiement bancaire pour des raisons de sécurité.

Le 22/07/2022 à 07h 21

J’ai testé, maintenant, GPay est nativement présent dans mes options et il me suffit de faire un glisser du haut vers le bas de l’écran pour l’ouvrir, hormis l’interface qui change un peu, ça fait le même taf, je ne sais pas si cette fonctionnalité utilisateur n’est présente que sur les Pixel, mais si c’est le cas, alors Google Wallet serait surtout utile sur les OEM tiers.

Le 17/07/2022 à 17h 21

Myifee a dit:

XP n’était pas conçu pour la sécurité, il a fallu je ne sais combien de patchs/versions pour éviter d’avoir une machine fraîche qui se fasse compromettre juste en se connectant à internet (en grossissant un peu le trait).

Ouais, je garde une certaine nostalgie pour XP, mais c’est aussi sur cette version que j’ai eu mon premier (et dernier) virus, c’était un cheval de troie et il était violent, mon père connaissait un informaticien à cette époque.

Rien n’empêche en effet d’aller à Emmaüs pour terminer d’utiliser toutes les TV cathodiques encore à disposition, mais cela ne veut pas dire que les autres n’ont pas envie/besoin d’une solution différente et plus moderne.

J’ai toujours un écran cathodique qui me sert pour certains besoins et je ne compte pas m’en séparer

Le 17/07/2022 à 15h 26

wanou a dit:

Je suis alluciné par vos témoignages. Je ne reçois quasiment aucun appel de ce type sur mon portable et très peu sur le fixe .

Pour participer un peu c’est pareille pour moi et je n’ai pas de fixe au passage, mon Pixel bloque assez bien le spam par défaut mais c’est rare que je sois même ciblé, j’ai eu plusieurs blocages au début mais depuis plusieurs mois c’est rare. Je n’utilise pas non plus d’applications type réseau social (Signal n’en est pas une) et j’utilise aussi majoritairement la fonction Téléphone par défaut pour tél.

Maintenant, dans l’immédiat c’est quasiment impossible d’avoir un numéro totalement clean, même en le changeant, tu vas très souvent recevoir un numéro déjà utilisé auparavant et tu ne sais pas ce que l’ancien proprio a fait avec.

Le 17/07/2022 à 12h 15

tazvld a dit:

Tout de même, la semaine dernière justement, j’ai eu quand même un faux positif, mais je l’ai signalé en spam.

Je ne crois pas avoir déjà eu de faux positifs, j’ai peut-être eu 1 ou 2 spams qui sont passés à travers les mailles du filet mais vu que ça reste un blocage basé sur des listes forcément ça à ses limites, j’apprécie que la fonctionnalité soit native, du moins si son application d’appel par défaut soit Téléphone de Google, ce qui n’est pas le cas pour tous les modèles Android, les OEM tiers peuvent rajouter leurs propres apps.

Le 15/07/2022 à 20h 13

tazvld a dit:

Sur Android “Vanilla”, l’application Téléphone de Google possède un filtre anti-spam qui marche assez bien aussi.

C’est ce que j’utilise sur mon Pixel et ça fonctionne bien pour moi pour le moment, l’autre avantage est que le tel ne sonne pas, pas de notif ennuyeuse non plus

Le 01/07/2022 à 20h 46

Myifee a dit:

Et je rajouterai un autre point : l’optimisme. En mettant de côté la qualité de vos articles, le ton est démoralisant.

C’est pas faux, le ton penche assez souvent vers le pessimisme et à force ça lasse, parce qu’on s’attends à encore lire le même genre d’article.

Gigatoaster a dit:

Triste mais malheureusement NXI n’a pas su évoluer avec le temps. Pas d’articles sur le Cloud ni sur le business de la tech,

Mouais, j’ai dû mal à voir une révolution dans le Cloud, c’est pratique dans certaines cas mais techniquement, il s’agit juste d’enregistrer ses données sur l’ordinateur de quelqu’un d’autre, c’est le même principe que le POP et l’IMAP, messages stockés en local pour le premier et sur un serveur distant pour le second.

Le plus gros soucis est la longueur des articles. Oui c’est un travail et un effort conséquent mais on vit dans un monde où l’attention n’est que de 3 minutes et encore. Vous le savez tous très bien.

Les articles peuvent être long oui, trop long, voilà pourquoi il y a le Brief, et si l’attention ne dure plus que 3 minutes, alors il y a un souci.

Le juridique a pris beaucoup trop de place, il y a des revues spécialisées je suppose qui couvrent bien ce domaine et elles fonctionnent car c’est pas 10€ par mois.

Le juridique dans le numérique, en France aucuns confrères n’en parlent sérieusement ou avec des arguments, du moins, perso je n’en vois pas, alors oui c’est pas forcément passionnant pour tout le monde, mais jusqu’à présent, je n’ai pas lu d’alternatives viables aux articles de Marc Rees sur les problème de la copie privée, l’Arcom, les données de connexions etc.

Bref je suis persuadé qu’un changement de ligne éditoriale, en collaboration étroite avec la communauté permettra de sauver NXI.

Peut-être qu’il faudrait à NIX une ligne éditoriale plus claire, avec un publique plus claire, je me met dans la tête d’un novice, et je ne suis pas certains qu’il devine rapidement à qui NIX s’adresse, en gros, réduire les sujets, mais c’est facile à dire.

Celestelium a dit:

Une autre piste ne serait-elle pas d’aller fouiller dans les liens affiliés ?

Notamment quand vous parlez de certaines entreprises (comme Scaleway que je vois dans les partenaires dans le menu du site). Ce sera pas la panacée mais si ça peut apporter un petit complément à moindre frais, ça peut toujours servir.

Les liens affiliés peuvent être utiles, si il n’y a pas abus, le problème est que ça peut très vite le devenir, l’autre problème est que l’article en question peut se retrouver biaisé, moi par exemple, je lis un article sur un service qui comporte des liens affiliés pour se service, ça flingue la crédibilité que je porte à l’article en question parce que je vais automatiquement me dire, la personne a été payé par le service pour écrire cet article.

Le 01/07/2022 à 17h 37

Comme certains l’ont écrit, c’est vrai que l’aspect juridique peut parfois gaver, moi-même je m’intéresse plus au hardware/software, mais actuellement, je ne vois que NIX parler de l’aspect juridique dans le numérique de façon argumenté et travaillé, aucuns articles de confrères ne me semblent d’être du niveau des comptes rendus de Marc Rees, soit ses questions sont survolés, soient biaisées et orientées.

Il y a des tonnes d’absurdités marketing trompeuses et ou malhonnêtes que les médias d’information grand publique et les “blogs techniques” font valoir sur des sujets liés au numérique, notamment sur la sécurité et la confidentialité qui ont pris une part importante.

Pour ses choses, nous n’avons pas d’alternatives à NIX, si vous êtes abo CanardPC, CanardPC Hardware parle parfois de juridique, dans un format similaire au Brief, c’est bien pour se tenir renseigner sur la forme, mais il faut NIX si on veut le fond, en hardware, de toute manière, c’est pas super intéressant en ce moment.

Bref, courage à l’équipe, ça serait pas cool que ça s’arrête, du coup je vais voir pour prolonger mon abo (oui j’avoue, je ne lis plus vraiment les articles, j’en survole beaucoup, par manque d’intérêt, d’envie, de temps et aussi d’argent).

Le 01/07/2022 à 07h 56

Encore une fonctionnalité inutile que les utilisateurs n’ont pas demandés, on trouve le même concept sur Edge.

Le 30/06/2022 à 10h 39

Si seulement…

SebGF a dit:

C’est pas du pragmatisme, c’est juste une protection des intérêts US et de continuer de stocker les données sur leur sol ou via des entreprises sous leur juridiction.

C’est sûr et ça peut même se comprendre, mais je salue quand même l’initiative.

gg40 a dit:

Je vends (loue) des instances Matomo depuis 6 mois… Et le moins qu’on puisse dire, c’est que cela ne se bouscule pas au portillon.

CanardPC, qui n’est pas un gros acteur utilise Matomo, mais c’est vrai que beaucoup utilisent GA, après, je pense que GA peut s’améliorer et on ne va pas cracher sur un site juste parce qu’il utilise GA, c’est certains.

Le 30/06/2022 à 09h 54

(reply:2080236:Jarodd) D’accord je vois, je vais laisser un autre membre te répondre concrètement à ma place parce que à vrai dire, je ne sais pas pour ce cas de figure, je suppose que uBlock Origin bloque plus de choses actuellement, essayer de mettre sur liste noir le pisteur soi-même devient fastidieux et ne prouve pas que le tracker bloqué est bien le bon, c’est une technique facilement contournable.

Avoir une fonctionnalité dans le navigateur qui bloque des trackers connues dans une adresse URL, c’est sympa, l’intérêt que j’y vois est de pouvoir se passer d’extensions qui ont souvent accès à beaucoup de données, mais ce genre de fonctionnalité est plus ou moins un théâtre de confidentialité, c’est un palliatif qui réduit l’exposition aux suivi le moins néfaste en attrapant uniquement les fruits à porter de main, c’est ainsi pour l’ensemble des protections contre le suivi utilisés par les principaux navigateurs, elles sont principalement là pour que les utilisateurs se sentent mieux. L’approche du navigateur Tor est la seule à avoir un réel potentiel, bien que très imparfaite et avec des compromis.

Le 30/06/2022 à 09h 34

Jarodd a dit:

Est-ce que les paramètres considérés comme suspects peuvent être définis par l’utilisateur ?

Je ne comprend pas ta question, que veux tu dire par “paramètres considérés comme suspects” ?

Le 29/06/2022 à 11h 12

(reply:2079899:moksou) T’en a pas besoin, par conception, le modèle de sécurité de Android intègre des politiques SELinux complètes du système et chaque application est isolé en bac à sable, maintenant, certains OEM affaiblissent volontairement le modèle de sécurité au profit des fonctionnalités, mais un AV est toujours inutile dans ce cas de figure parce qu’il n’aura pas les autorisations nécessaires pour faire quoi que ce soit d’utile de toute façon.

Si tu as peur de Hermit et de Pegasus, à moins que tu sois une cible juteuse comme un politicien haut placé, tu ne devrais pas t’en inquiéter.

https://qua3k.github.io/pegasus/