Reprise du message précédent :

parce que quand trop de monde = plus de surveillance  
En plus y’a certaines rumeurs qui disaient que Signal ne serait plus vraiment infaillible depuis quelques mois

c'est plutot mes amis qui essaient de me convaincre de venir sur Signal et moi qui rechigne parce que ca fait une app en plus et que j'avais pas trouvé ca ouf quand javais essayé
 
ils me disent aussi que Signal est plus safe que Telegram mais je me pose la question de la pertinence de cet argument quand ces amis en question ont un compte instagram sur leur malinphone... ou est-ce qu'il y a vraiment des raisons de se méfier de Telegram ?

T'as la liste des outils qui sont consideres comme safe par l'EFF:
https://ssd.eff.org/en/module-categories/tool-guides
 
Whatsapp et Signal y sont, pas Telegram.
 
https://ssd.eff.org/en/module/communicating-others

 
Le problème de Signal c'est que pas mal de fonctionnalités sont implémentées côté serveur en utilisant Intel SGX. Or Intel SGX a pas mal de problèmes de sécu (je fais cours).
Comme toujours ça dépends de ton modèle de menace, mener une attaque pour faire sortir des informations d'une enclave SGX ça demande des gros efforts qui ne sont pas à la portée de n'importe quel acteur.

Effectivement, ça sera plus simple d'aller chercher le smartphone. Le tien ou celui de ton contact.

Et partant des SMS ou de WhatsApp (qui laisse fuiter un max de metadata, cf plus haut) Signal est une énoooorme avancée !

L'EFF se prononce uniquement sur le chiffrement de bout en bout, une condition nécessaire mais pas suffisante.

Si WhatsApp est safe, je suis la crypto-réincarnation du Christ  

https://twitter.com/UKZak/status/1346244253333164034

Sur la comparaison, il manque à minima Wire, et Element (anciennement Riot).

Edit : l'image a déjà été posté mais pas dans cette résolution, un rappel lisible n'est jamais superflu  

J'ai changé ma photo de profil whatsapp par ça :
 
https://twitter.com/signalapp/statu [...] 5773462532

Pas bête !
Par-contre j'ai un bug à la con sur Signal: une bonne partie de mes contacts ont disparus sur le mobile. Je les vois si je fais une recherche manuelle, ainsi que sur le client PC. Bug confirmé par un ami.

Il manque surtout Olvid  
 
https://olvid.io/
 

 
J'ai supprimé mon compte avant d'avoir l'idée de faire ça
 
Tant pis !

 
Merci, je ne connaissais pas et l'analyse de SynAcktiv est bien sympa

Bon, c'est français, donc si ça fait comme Qwant, voila quoi....

L'Etat français a développé son propre service de messagerie instantanée TCHAP.  
Article NextInpact https://www.nextinpact.com/lebrief/ [...] -sur-tchap
 

 
C'est Matrix + Element rebadgé par l'état.

 
Oui.
C'est ouvert à toute personne possédant une adresse professionnelle en gouv.fr ou autre organisme d'Etat ayant passé une convention avec la Direction du Numérique (par ex une université où les domaine des mails agents est différent de celui des étudiants).
 
article FranceInter https://www.franceinter.fr/7-questi [...] tionnaires

Merci frer  

Ca fait une bonne année que c'est online. C'est pas foufou à l'usage.

Avec la dernière mise à jour de GMail sous iOS, Google a du publier les informations personnelles collectées par son application...
 

 
En plus GROS https://images.macrumors.com/t/jgAd [...] rivacy.jpg
 
 
 
Edit.
Les autres applis Google type Google Search, Google Photos ou Google Maps n'ont pas encore été màj sous ios donc on ne sait rien...

Alors je viens de regarder sur mon iPhone... en fait non, je n'ai pas d'applis google.

Comment on sait si on est concernés par la fuite de données des laboratoires ?

Ça me rend fou ça. Y'a des mots de passe et tout...

Sur le site de la cnil ils disent que la source est obligée de contacter les personnes concernées. Mais j'ai déjà fait les frais d'une fuite de données de labo, personne ne m'a jamais contacté...

Tu rentres ton numéro de sécu ici:
https://fuitededonneesdesante.acceis.fr/

Merci pour l'info !

Ah putain, top.

Ça fait peur de mettre son NIR sur un site, mais c'est une boite de cybersécu, le NIR n'est pas envoyé en l'état mais chiffré ou hashé au préalable, et ils ne font que la comparaison avec la liste dans leur base. Donc en théorie ça va.

Oui. Bon, après ça devrait être la cnil, l'anssi ou la sécurité sociale qui auraient dû faire ça...
 
Mais bon, quand on voit qu'on fait appel à doctolib pour des putains de rendez-vous de vaccins et que pas un toubib est capable de voir le problème qu'il y a à utiliser ce genre d'outil de merde...

C'est clairement inquiétant effectivement

Surtout que les hostos avaient des outils fonctionnels en place

Voilà les données collectées par les applis Google Search et Google Chrome sous ios.
 
Image en GROS https://pbs.twimg.com/media/EwiUNH0 [...] =4096x4096  
courtoisement fournie par duckduckgo https://twitter.com/DuckDuckGo/stat [...] 3613084679

Salut les gens,  
 
 
  J'aurais bien aimé quelques conseils quant aux choix les moins mauvais pour essayer de conserver un petit peu de confidentialité sur internet sans que mon usage n'en soit modifié et sans aucun frais, donc pas de VPN ni de truc TOR etc ... ?
 Et pourquoi ça. Juste par principe, j'ai du mal avec les profiteurs, voleurs, menteurs, tricheurs en général.
 Dans l'absolu je me moque de savoir qu'on m'épie, je pense avoir un usage d'internet assez similaire à la plupart des gens du même profil, soit le mâle occidental quadra lambda.
 
 Plus précisément concernant :
 
 _ Le système d'exploitation.  
 Je n'ai trouvé aucune alternative aussi pratique que Windows jusqu'à présent, j'ai beau essayer Linux à peu près chaque année depuis ... à la louche 15 ans, je reviens à Windows à chaque fois.  
J'ai vraiment cherché autre chose, jusqu'à des vieux trucs genre OS/2 ou des OS vraiment exotiques dont j'ai oublié les noms. Je ne comprend pas qu'il n'y pas d'alternative autre que Linux, et est ce vraiment le cas ? Je pose la question même si je suis sûr à 99% que c'est le cas mais bon    
 
 _ Le navigateur.
 Firefox reste mon préféré. Est ce vraiment un bon choix ?
 Extensions Firefox installées : _ uBlock Origin en ce moment, AdBlock pendant des années précédemment, à l'usage je ne vois rien de différent.
                                         _ HTTPS everywhere. Utile ou pas ?
                                         _ et Ghostery en plus u_u, superflu ?
 
 J'ai aussi Opera pour son "pseudo" VPN, j'imagine que c'est ridicule, voir pire  ?    
 
 _ Moteur de recherche : J'ai laché Qwant après avoir lu quelques articles sur cette entreprise.  
 Là je suis assez content de Duckduckgo, à part le fait qu'il m'affiche tout le temps des résultats en anglais même avec le bouton sur Fr, du coup je relance à chaque fois u_u
 Sinon j'utilise pas mal Yandex qui visiblement ne bride rien contrairement à Google auquel je ne trouve plus aucune utilité, vraiment.
 
 
 _ E-mail : Protonmail depuis environ 2 ans en version gratuite, sur mon PC et mon smartphone, je l'adore c'est exactement ce dont j'ai besoin : simple, clair sans superflu (enfin je crois) et apparemment pas un trop mauvais choix concernant le sujet. Mais bon est ce réellement le cas ? Utilisé uniquement pour ce qui est important, j'ai d'autres e-mail un peu partout pour les "conneries" (gmail / aol)
 
 
 _Messagerie / réseaux sociaux : je suis juste accro à Youtube mais là c'est mort il n'y vraiment pas d'alternative sinon je ne communique pas, à part via des forums   ce sont les seuls endroits adaptés à la vitesse de mon cerveau !
 
 
 _ Et aussi les paiements en ligne : Uniquement via des cartes bleues virtuelles par la banque Fortuneo (service gratuit et apparemment illimité, je crée une carte par paiement).  
 Cette banque est approvisionnée uniquement pour ça, mais d'autres le permettent j'imagine.
 
 _ Gestion des mots de passe : papier / crayon, je saisi à chaque fois.  
Mais là encore c'est potentiellement une bétise je pense, rapport aux keyloggers ?

ProtonVPN, c'est vraiment sympa. Un clic pour démarrer l'application, et c'est tout. Rien a voir avec de la triche.
 
 

 
Linux a commence a croître en popularité au moment ou les ordis alternatifs (Amiga, Atari, Mac) étaient en déclin fin 90's. Et y'a pas de miracle, pour qu'un OS se developpe sur des PCs, il faut une masse de gens qui l'utilise. Et Linux, c'est juste un noyau. Il y a plein d'environnements différents autour. C'est quoi tes reproches a Linux ?  
 
Un Mac sinon ?
 

Firefox reste le top.  
- uBlock Origin => tres bien.
- HTTPS everywhere => tres bien.
- Ghostery => superflu. Et ils envoient tes donnees pour entrainer leur moteur.
- NoScript => enlève les scripts, a rajouter peut-etre.
- Badger => enlève les scripts, a rajouter peut-etre.
 
 

Je ne connais pas.
 

J'utilise DuckDuckGo aussi.
 

Difficile de faire mieux que ProtonMail  je pense.
 

Pareil.
 
Pour les messageries, il y a bien sur Signal a envisager comme alternative a Whatsapp.  
Threema aussi, mais jamais utilisé.
 
 

Je ne connais pas.

Je n'utilise pas de keyloggers.

L'OS : si tu n'as pas trouvé ton bonheur sous Linux et que tu veux rester sous Windows, regarde déjà du côté des petites applis ou scripts qui désactivent l'envoi des données de "télémétrie" à Microsoft.
Après l'OS c'est une base, ça dépend surtout des softs que tu utilises. Si tu ne fais que de l'ultra basique avec des outils type navigateur web à 99%, Linux c'est pas insurmontable. Par contre si tu es dépendant de la suite Adobe, forcément c'est un peu plus compliqué
 
Navigateur : tu as firefox + les extensions que tu cites. TOR browser c'est aussi franchement très simple et désormais assez efficace. Pas pour l'intégralité du surf, mais pour certaines recherches sensibles par exemple. Si tu n'as pas envie que ton FAI soit au courant de tes recherches sur les mycoses mal placées ou tes interrogations sur l'usage détourné des engrais...
 
Moteur : j'aime bien Startpage pour l'aspect anonymat, après ça reste basé sur les résultats de Google, donc ça me dérange quand même dans le fond. Je papillonne toujours
 
Email : proton c'est très bien, rien à dire. Il faut juste bien avoir à l'esprit que les mails qui arrivent ou partent vers autre chose qu'une boîte proton peuvent transiter en clair à un moment donné.
 
Messagerie : Signal et rien d'autre. Perso j'ai dit non à whatsapp, les gens qui m'en parlent je leur fais comprendre que vu qu'il y a exactement les mêmes fonctionnalités dans Signal et ce sans vendre mon âme au diable à Facebook au passage, je ne vois pas pourquoi ils s'acharnent à utiliser whatsapp. Généralement on me répond "ah whatsapp c'est facebook ?" Après s'ils ne veulent pas migrer, rien à faire. La dernière mauvais pub de whatsapp a quand même permis a pas mal de monde d'installer Signal, j'ai facilement doublé mon nombre de contacts ces derniers mois, et j'ai bien vu la propagation dans la familles lointaine, c'était rigolo (genre un oncle installe, 2 jours après sa femme, 3 jours plus tard je vois que ses enfants aussi...)
Facebook et autres zéros sociaux : aucun intérêt. Rapport signal bruit dégueulasse. J'ai quelques groupes Signal pour échanger entre petits groupes importants (famille proche, copains autour d'un même thème...) et c'est nettement plus utile.
 
Youtube : surf en mode déconnecté + désactivation de tous les paramètres d'enregistrement et de suivi chez Google (autant que possible) parce que parfois j'ai besoin de me connecter avec un comtpe google (outils pro type webmaster tools...) et que si j'oublie de me déconnecter... Il y a aussi des extensions pour empêcher le stockage d'infos associées à Youtube (tu peux commencer par bloquer tous les cookies si tu n'utilises aucun réglage particulier que tu veux voir perdurer). Il y a les "containers" (Youtube container, Facebook container...) pour éviter le pistage via les "objets" youtube intégrés sur les différents sites que tu peux visiter.
 
On peut utiliser Youtube avec TOR sans trop de souci désormais, il faut juste ne pas vouloir de la 4K. Enfin si on s'intéresse à l'empreinte de ses données on a tendance généralement à avoir aussi une conscience de son empreinte carbone... et là, on sait que la 4K c'est pas la meilleure idée qui soit de ce point de vue).
 
Paiement en ligne : perso j'ai pas accès à des numéros de CB à usage unique (bourso) mais c'est pas mal, ça limite probablement un peu le recoupement par les intermédiaires bancaires (ATOS, ...) mais après la banque elle sait tout.
 
Mots de passe : Keepass(XC) + module pour Firefox. Papier/crayon c'est pas gérable pour moi (j'ai 634 entrées dans ma base !)
 
Je recommande aussi de définir un mot de passe maître pour Firefox si on les enregistre dans le navigateur. Ca prend 5 secondes pour aller afficher en clair un mot de passe enregistré dans le navigateur si on a accès à ton ordi, c'est pas rassurant (sauf à avoir une hygiène absolument parfaite de ce côté là, cad verrouiller 100% du temps dès qu'on s'éloigne de 50cm de l'ordi).
Contre les keyloggers, ben ça va dépendre... mais ça me semble clair qu'ils vont être ciblés url+email+mot de passe. Donc moins tu en tapes mieux ça sera. Après si tu as ta base keepass (ou équivalent) il faut taper le mot de passe pour la déverrouiller, donc celui là peut être compromis. Mais sans la base (on peut imaginer que le keylogger n'envoie pas de fichiers vers l'extérieur, juste les saisies) on ne va pas loin. Après je pense qu'il est assez facile (scan antivirus) de savoir sin on a un keylogger ou pas sur sa machine.  
Reste les cas où on doit taper un mot de passe sur un ordi dont on ne maîtrise pas la sécurité... pour ma part c'est niet. J'ai tout ce qu'il faut sur mon smartphone pour ne pas avoir à le faire. J'aimerai d'ailleurs creuser un peu "DEX" le système Samsung pour transformer un smartphone en mini ordi (écran hdmi/clavier/souris) pour ce genre de situation (genre j'ai un gros problème de serveurs pendant que je suis loin de chez moi et sans ordi portable, comment régler ça au mieux avec uniquement mon smartphone)...
 
Sinon en pseudo VPN "gratuit", j'ai un tunnel SSH entre mon ordi et un petit serveur (que je loue pour autre chose) chez un hébergeur. Ca fait sortir mon trafic depuis l'hébergeur et non pas mon FAI en campagnie, ça noie un peu le poisson. Je ne connais pas les filtrages en place, mais disons que si un jour on fait une enquête en partant de ma connexion internet chez moi, ça rajoutera une étape de complexité (au mieux on verra qu'il y a beaucoup de trafic chiffré entre chez moi et un serveur ailleurs), au pire l'hébergeur distant a des logs de ce qui sort de ses serveurs, mais ça me semble moins probable vu que c'est pas vraiment prévu pour être dans ce sens (on a tendance à loguer les "appels" d'une IP vers une URL distante, mais pas trop ce qu'un serveur web envoie vers quelle IP distante).

Initiative de la société civile en vue d’une interdiction des pratiques de surveillance biométrique de masse
https://reclaimyourface.eu/fr/
 
J'ai signé. C'est relayé par la quadrature du net (qui fait partie du collectif) sur ce thread twitter :
https://nitter.42l.fr/laquadrature/ [...] 1483509761
 
 

@depart Ton tunnel ssh tu fais ça avec quel hebergeur ?

Moi je n'ai que les logiciels qui disposent d'une option de paramétrage proxi qui passe par mon tunnel ssh.

Avec bientôt le blocage de xhamster et autres, je suis en train de regarder les vps étrangers, soit pour faire un tunnel ssh, soit carrément un vpn.

Pour les mots de passe, les clés hardware devraient commencer à se généraliser, ça sera une bonne chose.
 
Un point dont on parle trop peu souvent: changez votre DNS.

@ Rasthor : Avec Linux je trouve tout plus compliqué, rien que pour installer un logiciel j'ai du mal.  
 Je n'utilise que des logiciels très répandus sous win et je ne peut pas les retrouver sous Linux.
 Et ceux que je retrouve son bien moins ergonomique, Jdownloader par exemple.
 Ensuite le PC je ne le trouve pas plus performant du tout sous Ubuntu, je comprend que c'est une des distributions les plus lourdes destinées aux noobs, mais franchement
par moment c'est laborieux, et j'arrive même à des plantages complets, ce qui est devenu rarissime sous windows, genre 2 fois / an pour un PC utilisé quotidiennement.
 
 Pour ce qui est du Mac    
Je préfère encore mettre les mains dans le cambouis.
 A ce propos ça me rappel un truc, il y a moyen de transformer un PC en Mac en leur piquant leur OS non ?
 
 
 Pour les modules Firefox j'ai retiré Ghostery, me semble que vous aviez abordé le sujet précedemment sur ce fil.
J'ai ajouté Badger & Noscript. A voir, ça à l'air un peu radical au premier abord.
 
 
 @ depart :  Pour la télémétrie je viens d'installer WPD, en suivant les recommandations du site "Le Crabe Info" (j'adore ce site).  
 WPD permet même de bloquer les MàJ win mais ça je demande à voir par contre ^_^.  
 
  https://lecrabeinfo.net/desactiver- [...] ndows.html
  https://wpd.app/
 
 Je n'utilise plus que des trucs ultra courants, Irfanview / Firefox / VLC / PotPlayer / Everything / LibreOffice / JDownloader mais c'est compliqué de trouver aussi bien sous Linux, et franchement l'ergonomie de windows en usage basique, gestion des fenêtres / Copié-collé / glissé-déposé etc ... vraiment la base de la base c'est devenu hyper intuitif, et pour moi Ubuntu est loin derrière, mais bon c'est peut être moi le problème    
 
 Sinon concernant TOR et les VPN, comme je l'ai apparemment mal exprimé dans mon message initial, je ne suis pas aussi extrême et ça me semble plus contraignant qu'autre chose pour un mec lambda qui fait un peu attention, je le redit tout ça c'est plus par principe vis à vis de ces grosses entreprises qui exploitent nos données perso et en font leur beurre, sinon ça me serait à peu près égal pour le peu que je laisse de traces de ma propre initiative (enfin je crois).
 
 Avec Youtube, lorsque je veut y aller sans me déconnecter de mon compte principal, j'utilise "Multi-Account Containers", ça m'évite de voir toujours les mêmes suggestions de l'algo sur mon "vrai" compte.

 
 Sinon que la banque sache tout, je m'en doute c'est un peu normal et ça m'est complétement égal. Même en ayant plusieurs banques je ne me fait aucune illusion là-dessus, je pense qu'elles sont parmis les pionniers pour nous "espionner".
 
 Le mot de passe maitre sous firefox faut que je le fasse ça par contre u_u
 
 Sinon il y a quand même des sites, généralement les banques, avec l'entrée des mots de passe via la souris sur un clavier virtuel à emplacement de touches aléatoire affiché à l'écran, j'imagine qu'on ne risque pas grand chose avec ça tout de même.

"Multi-Account Containers", oui très pratique cette extension!

Un sbc pour moi. J'ai installé dietpi dessus => puis hop pihole + unbound, on est bien.

D'ailleurs quand ma meuf vient chez moi, elle a un tel Android avec une rom stock xiaomi et utilise des trucs mainstream style Facebook et tout, je passe de 6% de requêtes bloquées à 25%.

En quoi tu peux pas mettre les mains dans le cambouis avec OS X ?

@mouillotte : ovh (kimsufi) mais on peut faire ça avec n'importe quel serveur pour lequel on a un accès ssh. Rien à installer sur le serveur.
Sur mon ordi j'ouvre une connexion via putty (lancé au démarrage, login via clé) + paramétrage de firefox pour passer par un pxoxy socks. On, trouve des tutos, ça se fait en 5 minutes.
J'ai une petite liste d'exclusion pour les sites relous qui n'aiment pas les blocs d'ip ovh et 2/3 autres trucs.
 
DNS : oui pihole c'est quand même vachement bien ! Vital en fait même !!!  
C'est quand j'ouvre certaines applis sur mon smartphone en dehors de chez moi que je me rends compte "ah tiens il y a de la pub en fait".
Autant c'est facile d'avoir des extensions sur pc, autant sur smartphone, tablettes et compagnie c'est un peu plus compliqué.