Reprise du message précédent :
vous en connaissez beaucoup des navires océanographiques qui sont escortés par la marine francaise
 
https://www.20minutes.fr/lille/3124 [...] 1631813756
 
Calais : Un navire « espion » russe escorté hors des eaux françaises par la marine
 

    Un navire océanographique russe a traversé le détroit du Pas-de-Calais ce mardi.
    Baptisé « Yantar », ce bâtiment militaire est soupçonné de collecter des renseignements.
    La marine nationale a escorté le « Yantar » hors des eaux territoriales françaises.

j'ai connu des chalutiers ! de nombreuses fois et de la même nationalité
il y en a un qui est tombé en panne une fois ils ont faillit mourir de faim, pas de quoi pêcher

Des branques....
5 ministres sous écoutes avec l'affaire Pegasus....
Pas sûr que le danger soit la DGSE ou la DGSI
 
https://www.lemonde.fr/pixels/artic [...] 08996.html

bonjour !
 
je me pose aujourd'hui la question, pour mes pc portables, du cryptage des partitions. N'ayant plus le temps de jongler avec les containers trucrypt, je suis tombé sur veracrypt.
ma question : est il plus opportun d'utiliser veracrypt ou la solution fournie à l'installation? la plupart des linux (mint ici) proposant une option de chiffrement.. Quels sont vos retours d'expérience sur ces solutions, de vera/truecrypt à bitlocker ou autres?
 
merci !

pas vraiment d'accord :
https://www.nextinpact.com/article/ [...] tielles-12

plus un pétard mouillé qu'autre chose : les téléphones en question font l'objet d'une tentative d'infection comme celui de notre président (et de journalistes), rien ne porte à croire que celle ci a d'abord réussi, puis permis l'exfiltration de données.
pour moi c'est pour faire mousser l'égo des journalistes et de mediapart..

ps: la dgse s'oriente bien plus vers la géopolitique et l'intellignce économique que vers nos ptites comptes proton, qui font la saveur de la dgsi/europol

https://www.lepoint.fr/invites-du-p [...] 9_1444.php

 
C'est une vision optimiste... les journalistes n'ont effectivement eu acces qu'a un rapport de fin Juillet. Hors, Pegasus a été beaucoup disséqué par la suite, avec de nouveaux indicateurs de compromissions qui n'ont du etre partagé qu'aprés, surtout que j'ai cru comprendre que les 0-days utilisés permettaient ensuite de faire le ménage complet. J'imagine que l'ANSSI a du pas mal bosser depuis, mais aucun écho de ces travaux depuis.
 
De toute facon, le vrai souci n'est pas de savoir si l'iPhone de Blanquer est impiratable ou pas, car il l'est, tout autant que le mien. La question est de savoir ce qu'il fait avec son iPhone.

 
Veracrypt étant le successeur de truecrypt, c'est le même soft, mais avec un code plus ouvert je crois.
La dernière version de truecrypt ayant été publiée d'une manière très anormale et le dev complétement mis de côté.  
 
Mon avis ? Fait les deux : chiffrement intégré à l'OS et un container sécurisé pour les fichiers vraiment sensibles    

 
chiffrement à l'os pour commencer, je vais avoir un oeil sur veracrypt pour les partitions..
 
sinon j'ai découvert récemment la dégooglisation d'internet, si la dgse ou la nsa/fbi/cia vous foutent les jetons :
https://www.chatons.org/
https://degooglisons-internet.org/
 
enjoy!

Moi j'utilise souvent : https://alternativeto.net/ et https://privacyguides.org/ quand je cherche des outils / sites plus libres

Je pose ça là : https://4privacy.com/
 
Grosse campagne de levée de fonds - d'un youtuber connu et intelligent - pour créer une appli de gestion de données massivement privée.
 
J'ai pas encore tout capté, mais si ça prend bien il y a moyen que ça fasse avancer les choses dans le bon sens.
En tout cas la campagne kickstarter à bien explosé (400k$ sur 175 demandés)

LOL.
 
Une application pour centraliser ton permis de conduire, ta carte bleue, et autres ?
Je me suis arrêté là.

Venant d'un inconnu j'aurai probablement dit pareil : bullsh*t & compagnie... mais Destin de Smarter Every Day c'est pas exactement un idiot qui cherche juste à faire du pognon sans avoir compris une once de sécurité/crypto/...
 
Je pense qu'ils cherchent un modèle intéressant de mise à disposition de contenu, de "licence" pour un usage/une durée/... révocable, ...
 
Après je suis de la team "si c'est affiché à un moment quelque part considère que tu en as perdu la sécurité" (genre les captures d'écran ou la photo d'un écran ça existe), mais je suis curieux de voir ce qu'ils arrivent à sortir.
 
Dans tous les cas ça fait plaisir de voir qu'il y a du monde que le sujet intéresse !

Le principe de la sécurité c'est pas de créer une application "pertouduncou"... Donc, même avec toutes les bonnes références du monde, même avec toutes les bonnes volontés et les bonnes compétences, je vois pas à quel moment c'est une bonne idée de tout centraliser.

La centralisation peut être pour le partage, pas forcément pour le stockage.

 
C'est juste un coffre-fort numérique ?

En parlant de ça, weekend dernier j'ai dépanné une amie qui est secrétaire médical avec son Macbook.  
 
La gestion des dossiers patients et surtout des mdp de login pros    
Du dropbox non chiffré à gauche à droite, des mdp ultra simples à deviner.  
C'est flippant  

a voir. Mais en l'état ça me parait contre productif.

Les médecins - en général - sont plutôt mauvais avec le secret et le numérique...
 
Déjà quand tu vois qu'ils ont quasiment tous ouvert leurs fesses pour Doctolib...

M'en parle pas c'est un peu mon quotidien.

Sur une appli j'ai tracké la fonction de renvoi de mot de passe pour voir si basculer sur une solution où je chiffre toutes les données en bdd avec une clé dérivée du mot de passe (donc que seul le professionnel possède), j'ai vite laissé tomber.

Si c'est pour qu'on me dise que mon appli est pourrie car "j'ai perdu toutes mes données parce que j'ai simplement oublié mon mot de passe"...

Et je ne parle même pas d'autres fonctions de sécurité qui imposeraient encore plus de contraintes.

Y a pas besoin de carte vitale pour créer un compte
 
Si tu as accès à l’émail il suffit de demander à doctolib la clôture du compte

Tu peux aussi réinitialiser le mot de passe pour t'assurer que ce compte ne soit pas utilisé par la personne qui l'a créé.

Le plus probable c'est un homonyme qui ne sait pas trop quelle est son adresse mail... Enfin ça dépend aussi de la tronche de l'adresse. Entre Jean.Dupont@gmail.com et arkinator32megatr0ll@pm.me spa tout à fait pareil

J'ai pas du être assez clair, désolé.

Ce que je voulais dire c'est que si ton adresse mail est du genre prénom.nom@fai-connu.com c'est pas spécialement étonnant que quelqu'un d'autre nommé pareil croit avoir cette adresse mail là.

Si au contraire tu as une adresse beaucoup plus compliquée, alors en effet c'est hautement improbable que ça soit par hasard qu'une personne l'ait utilisée pour se créer un compte chez doctolib.

Dans tous les cas vu que c'est ton adresse mail à toi, tu peux facilement modifier le mot de passe du compte doctolib et empêcher son utilisation par la personne qui l'a créé.

Et après oui il peut aussi y avoir un site de fishing pour recup ton identifiant / mot de passe doctolib.
Règle numéro 1 : ne jamais cliquer sur un lien dans un email susceptible d'amener à un site nécessitant une authentification.

Règle numéro 2 : avec l'habitude on peut ne pas respecter la règle numéro 1 si et seulement si on se limite à l'utilisation des identifiants déjà enregistrés dans le navigateur. Exemple : tu reçois un mail de ton assureur avec un lien dedans. Tu cliques, tu arrives sur une page qui peut être le vrai site de ton assureur ou un site de phishing (l'URL peut être suffisamment proche pour ne pas éveiller de soupçon, genre un tiret en plus, une extension différente, voir même un espace invisible encodé en utf8)... Donc gros warning... sauf si ton navigateur te propose directement l'email/mot de passe que tu as saisi précédemment lors d'une visite en ayant accédé directement au site. Dans ce cas là tu ne retapez rien et utilise juste les email /pass pré-enregistrés et tu es sûr d'être sur le vrai site.

Qui utilise Element ici ? je ne comprends pas comment on y connecte les contacts signal et WA...

J'ai voulu tester ce petit outil https://github.com/TheRealDalunacrobate/DaProfiler pour voir mon empreinte ... jamais réussi à le faire fonctionner.
 
Le nombre de dépendances de versions spécifiques...
 
Si quelqu'un y arrive je veux bien des tips
 
Edit : en fait c'est le bordel entre les versions de python, de pip, ...
 
Au final ça marche en forçant les commandes avec :
- pip3 install (au lieu de pip)
- en virant les 3 dernières lignes de requirements.txt
- en lançant le script via python3 -m daprofiler.py ...
 
Bon c'est pas ultime, beaucoup de faux positifs, mais ça peut sortir des choses intéressantes, parfois un mot clé qui peut ensuite orienter pour aller chercher des infos complémentaires...

Moi. enfin Nous  

element est à la messagerie instantanée ce que le courriel est à la communication traditionnelle sur internet : décentralisé, et interconnectés.
c'est un msn crypté évidemment, mais surtout interopérable. Il est tout le contraire de whapp, signal, telegram, et des millions d'autres (skred, threema, wire, olvid...) parce qu'il ne dépend pas d'un serveur/infra chez un prestataire, mais de prestataires interconnectés entre eux.

par ex tu vas sur le collectif des chatons, tu choisis un chaton, tu lui donnes deux trois croquettes et il te créée un compte, avec element (ou un autre client, comme syphon), tu t'y connectes, t'ajoutes tes contacts, ils t'acceptent et tu peux échanger.
c'est plus compliqué, cela nécessite de décalquer les principes du mail (se trouver un fournisseur, s'y connecter manuellement) sur la messagerie instantanée.
sachant qu'en plus, les messages sont très sécurisés dans le sens où t'as intéret à faire des sauvegardes (comme sur wire) car se connecter sur un nouvel appareil, (excepté avec element, qui distingue mdp de session et mdp de décryptage), tes anciens messages seront cryptés et non lisibles au moment de la connexion.

mais c'est un très bon système de messagerie, ya des serveurs associatifs chatons qui le proposent (initiative chatons/framasoft), en famille on s'en sert, et en plus de pouvoir communiquer avec les gar sur serveur matrix.org (organisation britannique, five eyes), certains canaux généraux sont reliés aux canaux irc.. ainsi avec elements tu peux suivre un canal IRC (sans intervenir par mp) et tu peux faire pareil sur discord aussi.

très bonne appli pour ma part, à la hauteur sur le top3 des threema/olvid.

edit :
pour réponre plus précisément à ton indication de départ :
element est un client.
c'est un peu comme si tu comparais linux, par abus de langage : linux est un noyau que t'utilises au travers d'ubuntu, fedora, arch, cque tu veux.
bah element est un client (comme thund) là où matrix est le protocole (pour les mails, imap).
tu peux utiliser plein de clients matrix différents, element est simplement le nom officiel de l'appli de la fondation matrix. Mais le protocole matrix ne peut être interconnecté aux autres systèmes type whatsapp, signal, car ce sont des organisations de communication fermées. Seul les gamers de Discord ont obtenu un accord d'interconnexion sur les canaux généraux (pas les MP). Mais il faudra les encourager à migrer sur matrix.

A noter que matrix est très répandu dans les groupes de travail notamment scientifiques.. et c'est vrai que c'est très pratique.

 
T'as jamais touché à Python hein  
pip3 et python3 c'est classique, quand tu as une distribution qui possède encore un 2.7 par défaut.

Petit comparatif des accès du FBI aux opérateurs de données  
 

 
TL;DR : oubliez Icloud, utilisez Signal.

euh manque pas un lien là?

https://media-exp1.licdn.com/dms/im [...] NyLpGsWjIs

pour ma part ce comparo est largement caduque, il ne montre que threema en solutions suisses, alors que wire est similaire et gratos..
rien du coté du libriste non plus, le très coté matrix (element/riot) n'apparait pas non plus, pourtant très prisé des nerds méfiants
pareil pour la france : skred et olvid? ce dernier est utilisé par les services et est francais..
je vois pas non plus citadel, issu du très coté thales, créateur du téléphone de

element : jamais compris pourquoi c'est aussi prisé en matière de confidentialité... chiffrement non systématique, salons hébergés par des nobodies... mouuuuuuaaaais.

L'avantage de ce comparatif c'est qu'il compare des solutions de messageries grand public, accessibles à TOUS. Va expliquer Olvid ou Matrix à ta nièce de 14 ans ou ta mère de 70 ans. C'est mort.

Pour ceux qui cherchent la confidentialité par dessous tout et baignent dans notre bulle, ils savent déjà que le top c'est Olvid ou Session. Et si on veut aller plus loin on utilise autre chose que des apps de messagerie sur smartphone.

Quant à Signal, une partie du code va passer privée (le partie qui protègera contre le spam), à partir de là chacun verra midi à sa porte.

 
C'est les données du FBI, donc les trucs franco-français utilisés par deux hauts gradés et les solutions suisses où il faut monter un serveur toi même je crois pas qu'ils en rencontrent beaucoup.  
 
Et +1 avec OES, la facilité d'accès compte. J'ai fait passer ma famille et mes amis sur signal, c'est easy, d'autant plus que je ne suis pas le seul à l'utiliser.

 
En effet c'est pas trop mon truc python.

 
Si c'est déclassifié ça veut dire qu'ils ont un coup d'avance, donc faut devinez les services auxquels ils ont accès aux messages et à d'autres infos    
Je pense que Signal et Telegram sont out niveau confidentialité.
Olvid et Wire pour un max de sécu  

Source pour Signal ?

Source svp

Disons que si ton modèle de menace le permet, certaines attaques sont accessibles à un acteur étatique sur les serveurs de Signal.
 
Mais sinon le plus probable c'est un logiciel espion sur ton tel à la Pegasus.
 
Mais comme d'hab, ça dépend de ton modèle de menace, sans modèle de menace tu ne peux pas te projeter sur ce qui peut t'atteindre.

Le seul modèle de menace valable  :  
 

 
Tout l'article est excellent d'ailleurs
 

 
 
https://www.usenix.org/system/files [...] ickens.pdf
 

Beaucoup d'humour et de réalité. Intéressant l'article.
 
Après ça fait juste le constat que c'est tout pourri mais ca ne fait pas avancer le schmilblik.
 
D'ailleurs je serai curieux de connaître vos pratiques en terme de gestion de pass, clés de sécurité...
 
J'ai BEAUCOUP de mots de passe (je dois avoir j'ai 600 683 entrées dans mon keepassXC), beaucoup de serveurs à gérer (ssh, serveurs Web, mysql...), de compte sur des centaines de sites, pro ou perso... J'ai de tout, de la clé crypto, du mot de passe aléatoire, du "schéma" + dérivation,...  
Même avec l'extension KeepasXC c'est pas foufou la gestion base<->navigateur (genre les sites avec des champs atypiques style protonmail avec 2 mots de passe différents, les "claviers" des sites de banque...)
 
J'ai besoin de tout ça depuis partout (chez moi ou non, sur pc ou smartphone...)  
 
J'ai encore besoin de régulièrement taper des mots de passe, ne serait-ce qu'un mot de passe sudoer lors d'une connexion ssh. Donc s'il faut aller chercher le mot de passe de 64 chars manuellement à chaque fois ... J'ai quelques clés ssh (stockées du coup sur mon ordi) pour ne pas avoir de mot de passe à taper à chaque fois que je me logue en ssh, mais j'aimerai bien par exemple pouvoir stocker la clé ssh ailleurs que sur mon ssd (même s'il est chiffré bitlocker), et de toute façon j'accepte aussi l'accès par mot de passe.
 
Pour l'instant je n'ai pas de clé physique (yubikey, ledger...) je me demande en quoi ça pourrait améliorer mon confort et la sécurité... Sans au contraire rajouter une masse de contraintes (mince j'ai pas la clé je ne peux rien faire) et de risques (casse, perte...).  
Il y a moyen de d'avoir un quotidien "passwordless" via une clé de ce type ou c'est juste une couche supplémentaire de sécurité et ça n'enlève rien aux contraintes déjà existantes ? J'avoue que je n'ai pas encore trop creusé le sujet donc je suis curieux de connaître vos pratiques. Vous utilisez quoi vous ?

La yubikey je la réserve aux sites web (FIDO) comme deuxième facteur.
 
J’ai quelques rares sites compatible FIDO2 qui me permettent d’utiliser qu’elle mais y’a tjs un backup derrière de type password + push.
 
Honnêtement ça révolutionne pas ma vie.
 
Je préfère Windows Hello a ce stade, par exemple pour me connecter à Boursorama j’ai juste à montrer ma tronche à la webcam (Logitech Brio pour être compatible).
 
Pour le web j’ai Bitwarden qui est cross navigateur et cross OS. Honnêtement c’est lui qui fait 95% du taf au quotidien pour les usages.
 
Ensuite j’ai KeePass pour assurer côté applications et ssh. J’utilise très peu les certificats pour me connecter en SSH.
Après… mon petit côté maniaque fait que le keepass prend aussi tous les passwords web en double de bitwarden mais ça c’est un fardeau que je m’impose.
 
A ce stade on fait déjà partie des 1% d’utilisateurs bien trop chauds pour les attaquants et renforcer encore me semble complètement abusif / paranoïaque. A vrai dire plus ça devient compliqué plus ça augmente les chances de se faire niquer à partir d’un moment. Il vaut mieux passer du temps à s’assurer que la machine hôte est clean et le reste, ne pas laisser ouvert TeamViewer h24, ne pas laisser le 3389 sur le web même avec un mot de passe de 180 caractères, etc. Etc.
 
Bon j’ai dérivé je sais, y’a question concerne plus l’aspect pratique je l’ai bien compris.

Je cherche en effet surtout à renforcer le côté pratique, sans perdre (voir en améliorant) en sécurité.
 
En gros mon idéal ça serait d'avoir au maximum :
- pass aléatoire (gardé dans keepass) + 2FA par application ou sms  
- mais ajouter une surcouche pour pouvoir me loguer sans avoir à taper quoi que ce soit la majeure partie du temps (et du coup je me demande si la clé peut répondre à ce besoin).

Une clé est soit FIDO1 (ne sert que de second facteur, contient un simple secret) soit FIDO2 (sert à la fois de premier et second facteur "2en1", contient une paire de clés asymétriques). Par contre en FIDO2 si ta clé n'est pas biométrique tu dois mettre un PIN pour unlock le secret, du coup tu ne fais que remplacer un mot de passe par un truc plus light, mais faut toujours le taper.

Le truc c'est que FIDO2 n'est pas supporté par beaucoup de services web encore