Reprise du message précédent :
et on a vraiment un apport de sécurité par rapport à une double auth traditionnelle (sms ou appli tierce du type AndOTP sur Android) ?
 
Tiens d'ailleurs il se passe quoi si par exemple on désinstalle AndOTP, ou si on pète son smartphone qu'on en rachète un et qu'on réinstalle AndOTP ?

pour andOTP il faut conserver les clefs associées à tes comptes pour pouvoir les recréer sur une nouvelle appli....(QR code ou clef), sinon t as des applis OTP qui se sauvegardent aussi

Moi je trouve pas. D'autant qu'il faut que le site soit compatible avec la clé... Alors sur google et compagnie, ça pose pas de problème. Mais sur d'autres trucs, c'est plus chaud.

T'es niqué si t'as pas une sauvegarde.
Deux solutions => tu as accès au service depuis un endroit où tu as un cookie permanent présent : tu désactives le 2FA et tu le réactive avec ton nouveau téléphone.
=> tu utilises un code de secours.

Perso, j'ai les codes de secours dans un keepass. J'ai aussi quelque part la clé 2FA pour chaque service.
Egalement, j'ai une sauvegarde de l'application 2FA que j'utilise, à savoir Aegis.

Les systèmes par sms se font hacker
Moi j'utilise Authy avec un backup

Tiens, les syndicats de l'Assurance Maladie commencent à titiller le directeur général concernant l'histoire des labos qui ont laissé fuiter des données :
https://www.cgtcnam.fr/fuite-de-don [...] s-500-000/

C'est un peu uniquement américain ça non ?
 
J'ai vu 0 témoignage en Europe en tout cas pour l'instant

Moi j'aime bien les app smartphone pour le 2FA. C'est comme le SMS (aussi pratique car le smartphone n'est jamais loin) mais protégé par un mot de passe + pas besoin de donner ton numéro de téléphone aux sites sur lesquels tu t'inscris.

J'ai un peu creusé et en effet on peut sauvegarder / restaurer les infos.
Il y a probablement moyen d'installer le même système sur 2 téléphones. Genre le n-1 qui dort dans un tiroir c'est peut-être pas idiot de lui installer le même système 2FA, en cas de perte/vol/oubli au bureau. .. Ça peut permettre d'être rapidement opérationnel et pas bloqué.

Etude du Trinity College de Dublin.
 
Un smartphone transfère des données personnelles avec Apple ou Google en moyenne toutes les 4 minutes trente.
Un Pixel "au repos" transfere 1MB de données perso sur une période de 12 heures. Un iPhone 52KB.
 
Réponse de Google "Ben ouais, c'est comme ça que la téléphonie mobile fonctionne..."
 
https://www.irishtimes.com/business [...] -1.4521267
 

Suffit d'installer un piHole sur son réseau pour constater les quantités phénoménales de requêtes même quand il y n'y as personne.

Intéressant le coup du "caftage" de qui est sur le même WiFi !
On n'est pas loin des shadow profile de Facebook.
Tu es hors CGU (tu n'a jamais rien autorisé) mais une société peut créer un profil sur toi, te tracer, via une adresse mac ou un imei, sans que tu n'ai jamais eu ton mot à dire.
Si ensuite ils trouvent un seul moyen de croiser toutes ces infos avec un compte quelconque (une recherche via Google, un paiement sur un site partenaire,...) hop la boucle est bouclée et ils peuvent attacher tout ce profil "passé" à ce compte et instantanément te proposer un contenu "adapté" à ton profil.

Toujours aussi flippant de créativité !

 
Intéressant !

ou flippant!

Dites, est-ce qu'il existe une appli Opensource qui permette comme Skype de passer des appels vers des numéros de téléphone classiques en étant à l'étranger ?

 
 
P'tite question technique.  
Je suis en train de me séparer de Gmail.  
J'ai pris l'offre mail gratuite chez Infomaniak.  
Est-ce qu'il est possible d'acheter un domaine et d'héberger les mails de ce domaine sur l'offre d'infomaniak ?

Aucune idée.
Moi ce que j'ai fais c'est prendre un ndd chez ovh, j'ai le droit à une adresse mail gratuite avec 5go d'espace.

 
 
   
 
 
Vive Netanyahou !
 

Dworkin !  

Le DoH fait peur au gouvernement français.
 
https://twitter.com/cedric_o/status/1378014243618967553
 
http://www.senat.fr/amendements/20 [...] t_639.html

Pour les utilisateurs de pihole, pour "remonter" les requêtes vers les serveurs DNS en essayant de limiter ce que le FAI peut voir, vous privilégiez quoi :
- DoH (DNS over HTTPS) avec l'implémentation de cloudflare
- unbound local
?
 
C'est quoi l'avantage/inconvénient de chacun ?
 
Quelques tutos au passage :
https://nathancatania.com/posts/pihole-dns-doh/
https://docs.pi-hole.net/guides/dns/unbound/
 
https://wonderfall.space/dns-over-tls-docker/

Si le problème c'est le FAI, alors un VPN ?

Ou bien un DNS associatif.

Vpn = payant
J'ai déjà un pseudo vpn via tunnel ssh vers un petit dédié chez Ovh mais je cherche toujours à améliorer mes solutions, notamment pour les autres périphériques de mon réseau.

Dns associatif : ça ne change pas le fond du problème car la requête est envoyée en clair donc le FAI (et tous ceux qui se greffent potentiellement dessus au passage) est au courant de la recherche.
Certes ensuite avec le https il n'est pas au courant de quelle page tu appelles sur hfr mais il sait que tu consultes hfr.
Pour éviter ça il faut chiffrer la requête dns, c'est l'objectif du DoH (dns over https)

J'ai un peu creusé le sujet, bon globalement beaucoup recommandent de ne pas aller dans la direction du DNS over HTTPS via cloudflare, encore une fois pour ne pas centraliser un paquet de données chez un fournisseur facilement "corruptible", sous loi US, ...
Au passage les critiques sur DoH sont assez fortes dans la mesure où ok on chiffre l'échange entre le client et le résolveur DNS... mais on permet au résolveur d'obtenir beaucoup d'informations sur l'origine de la requête en raison de la possibilité d'en-têtes, cookies et autres joyeusetés associés à http.
Exemple sur un web café :
- en DNS "normal", le FAI et le résolveur DNS savent que l'ip du web café fait des appels à HFR pour obtenir son IP... mais ça peut être n'importe qui.
- en DoH, le FAI ne sait rien mais le résolveur sait que toi précisément (cookies, meta  associés au https) fait un appel à HFR. Si tu va ensuite chez toi faire la même requête on saura où tu habites, où tu es quand... bref on peut te faire un joli profiling personnel associé au client et non plus un profiling associé à l'ip publique d'où est originaire la requête.
 
Bref, je m'oriente vers la solution unbound, j'ai installé et configuré, ça prend 10 minutes, ça va.
Par contre il faut que je creuse pour voir comment on peut faire des échanges chiffrés entre un unbound local et les serveurs racine plus haut, là je n'ai pas encore tout capté. L'idée étant que ces requêtes ne soient pas en clair pour que le FAI ne puisse pas voir ce qu'il y a à l'intérieur...
 
Lecture intéressante : https://medspx.fr/blog/Sysadmin/unbound/
 
Mais il y a un truc que je ne capte pas dans la conclusion :

 
Je comprends 3 choses opposées :
- on peut intercepter les requêtes entre le client (un PC, un smartphone) et le unbound local si on sniffe ce qui ce passe sur le LAN
- Le DoT n'est en fait pas entre le serveur unbound et les serveurs faisant autorité
- donc en fait c'est quoi qui est chiffré ???
C'est pas clair là !
 
Autre article : https://blog.cyclemap.link/2020-01-11-unbound/
 
On y apprend au passage que malgré la résolution de DNS chiffrée... le nom de domaine appelé reste en clair dans le premier appel lors d'une connexion HTTPS. Nan mais WTF...  
Bon il y a une logique (oeuf poule toussa https://blog.cloudflare.com/encrypted-sni/ ) mais quand même... quel bordel...
 
Edit : autre réflexion, le lieu où on installe son serveur unbound, moi j'ai logiquement pensé "sur mon lan", mais finalement c'est peut-être plus logique chez un hébergeur + mise en place d'un lien chiffré entre le lan et le serveur en question, d'où le unbound DoT ou le DOH, qui du coup fait que le FAI ne voit pas passer la requête DNS en clair car lorsqu'elle remontera du serveur unbound vers les DNS racine, ça sera depuis un hébergeur et non plus le FAI... mais après faut pas se louper parce que mettre un DNS librement accessible sur le net ça sent les risques à plein nez en terme de sécurité.

Moi j'ai un unbound local ça marche bien.

Et la machine qui fait pihole + unbound est connectée à un vpn
Du coup, entre unbound et les serveurs racine, c'est dans un tunnel. Mon fournisseur ne voit rien.

Mon tel est connecté à pihole en permanence également.

Qui est à l'autre bout du tunnel, là où tu sors sur l'Internet mondial ?

Quelle est ta question ? L'endroit géographique ?

Mais c'est que la machine qui fait tourner pihole+unbound qui est dans le vpn. Sur les machines que j'utilise pour aller sur internet (pc Windows, Linux et smartphone) pas de vpn.

Qui est ton provider VPN, c'est ça ma question  
Un tunnel VPN ce n'est pas magiquement se protéger, c'est seulement se connecter aux serveurs de destination (tes serveurs DNS racine) depuis une IP source différente. Si cette IP est dans le même pays ou derrière un opérateur sujet aux mêmes lois/espionnage que tu veux éviter, tu ne gagnes rien  
 
A moins que ton tunnel se termine directement sur le réseau d'un serveur root mais je ne suis pas au courant que ça existe

ProtonVPN, serveur en Suède.

Après je comprends ce que tu dis, et je suis d'accord et conscient de ça.

C'est pas mal dans le sens où ça sépare les deux. En gros le FAI ne voit plus passer les requêtes dns.
Et de l'autre côté tu as la boîte qui gère le vpn qui voit juste des requêtes dns.

Pour reassocier les 2 c'est tout de suite plus compliqué.

C'est vraiment la manière dont je vois les choses : tout ce qui pourra rendre plus compliqué et donner plus de travail à un organisme vulant utiliser mes données contre moi est bon à prendre car la sécurité et l'invisibilité absolue sont impossibles ou en tout cas invivables en usage quotidien.

Reste cette histoire d'encrypted SNI, j'ai pas encore tout capté, parce qu'en l'état sans ça, tout ce qu'on pourra faire côté dns restera inutile s'il reste le nom en clair dans le premier appel https !

 
Pour ton histoire de SNI, je pense que ce n'est pas *si* grave.  En effet, au niveau réseau tu ne pourras jamais cacher la destination (IPdest) sauf à passer par un protocole qui a cette propriété spécifique (type TOR).
Tu me diras que l'IP donne moins d'info qu'un SNI, mais on a aussi du reverse DNS donc bon, l'un et l'autre sont presque équivalents.

Ça reste une mesure supplémentaire.
Sûr que si tu n'es que sur des gros sites genre YouTube Facebook Amazon... Un bête reverse d'ip, voir même de partie d'ip permettra de voir ça.
Mais à l'opposé tu as tout ce qui est sur du mutualisé, du cloud (aws..) avec de l'ip partagé. Du coup ça rend la donnée beaucoup moins fiable et à mon sens la rend moins pertinente et juridiquement beaucoup moins exploitable.

Genre tu as consulté une ip sur laquelle il y a un site de bisounours et un d'incitation au terrorisme, ça va être dur d'utiliser ça contre toi...

Ça veut aussi dire qu'on ne peut pas vraiment automatiser le processus alors qu'avec le nom en clair, faire un log de tous les sites que tu visites, ton FAI peut faire ça avec des ressources ridicules à son échelle. Et donc les transmettre (ou se les faire intercepter) tout aussi facilement.

C'est bien vu la Suède pour ton fournisseur de VPN, c'est un pays plutôt favorable à la liberté sur Internet Initialement j'avais peur que tu aies fait un tunnel vers un VPS chez OVH par exemple, rendant inutile ta manipulation car également soumis aux lois françaises.

La Suisse ou la Suède c'est pas mal ouais
 
Moi je me demandais, si sur mon téléphone pro avec un vpn always-on, comment faire pour éviter le traffic loggé par mon employeur ? C'est cuit ?

Blogpost de signal sur Cellbrite :
 
https://www.signal.org/blog/cellebrite-vulnerabilities/
 
Et un petit article complémentaire de streetpress:
 
https://www.streetpress.com/sujet/1 [...] -portables
 
/Blaska tu nous manque

Drap, doit y avoir de la qualitance ici  

Plus ou moins oui. Il doit y avoir des possibilités à base de deuxième profil, ou de bidouillage de l’amorçage... Mais bon, à mon avis c'est mort.

 
Yes. Y a a coup sur une solution de MDM dessus. La boîte peut gérer / effacer ton tel à distance, et peut voir toutes les URLs que tu contactes.  
 
Utilise ton tel perso pour les trucs perso. T'as pas idée de ce que les gens font de pénalement répréhensible sur des devices pro.  

 
Un peu con de jouer ton job s'il s'en rendent compte

Carrément

J'ai plus de tel perso  
Mais je vais y repasser clairement !
L'occasion de prendre un tel un peu plus secure peut-être.
Dommage il était sympa cet iphone 12

Je viens de voir que dans les profils VPN sur iOS on peut a priori simplement désactiver le vpn et le Connect On Demand.  
 
Ça me semble trop simple.