Reprise du message précédent :

 
Donnez des exemples de sites et j'essayerai.
Clairement ça m'arrive de temps en temps,  mais rien d'insurmontable ou de trop relou

Mmmmh sur les http headers je suis pas 100% d'accord. En https le header n'est pas accessible et ça tend à devenir la norme.

 
Le problème c'est qu'à partir du moment où une appli est en fonctionnement, la majorité de ses données sont en accès libre (dump de ram, ...) Les OS pour les ordis (linux inclus) sont très peu basés sur la segmentation des process & co.
N'importe quelle application qui te demande un accès administrateur (les utilisateurs cliquent toujours sur "ok" sans lire quand il y a une popup de l'UAC Windows par ex) a accès open bar à tout ensuite.
 
Pour les cookies/token, il faudrait que les sites en face soient plus regardants, mais pour avoir creusé le sujet pour un besoin pro (et discuté avec l'élite HFR sur le topic qui va bien), ça n'est pas évident. Le problème par exemple c'est que tu ne peux pas le lier à une IP car en utilisation mobile (4/5G typiquement) ton ip change très fréquemment, tu ne veux pas avoir à te ré-identifier à chaque fois. Il faut forcer la réauthentification pour les opération sensibles, éventuellement la forcer lors de changement géographique important, mais ça n'est pas simple. On peut aussi un peu se baser sur un fingerprinting (navigateur,os, réso d'écran, ...) pour considérer qu'une personne est toujours la même (genre si le cookie est le même mais que la résolution d'écran et la version de windows ont changé c'est probablement qu'il y a tentative d'usurpation d'identité... mais ça sent un peu le truc mort né car de plus en plus les navigateur vont (en tout cas je l'espère) raconter des cracks pour limiter ce fingerprinting à des fins marketing.
 
Sinon pour l'histoire des captchas VPN, perso ça me va.
Je passe la majeure partie du temps par un tunnel SSH lié à un petit serveur dédié que je loue pour divers usages, comme l'ip est dans une plage considérée comme appartenant à des serveurs et pas des personnes physiques, je me prends des captchas... c'est pas insurmontable non plus. C'est mon VPN du pauvre pour empêcher mon FAI de voir ce qui se passe, j'en accepte les conséquences.
 

Cherche "Encrypted SNI" et tu comprendras
ex : https://www.cloudflare.com/fr-fr/le [...] ypted-sni/
Pour lancer la connexion TLS il faut d'abord que le navigateur demande en clair à l'IP du serveur distant qu'il veut discuter en https avec le domaine xyz.com ... et donc à ce moment là on peut filtrer et savoir que tu veux consulter ce site là.
 
Le protocole pour bloquer ça est en cours de mise en place, mais il y a eu un peu de bordel entre cloudflare d'un côté et Mozilla (et d'autres) de l'autre avec des idées plus "larges" (ECH), et donc en attendant on n'a rien.
Autre source : https://lafibre.info/cryptographie/encrypted-sni/24/

Intéressant pour ECH merci, par contre le FAI pourra toujours savoir avec quelle IP on discute et donc retrouver le domaine/site derrière cette IP, ECH ou non.
 
A moins qu'on soit en VPN ou qu'on tape Cloudflare/un proxy tiers.

Ca dépend. Pour certains gros sites oui (amazon cdiscount, lemonde, facebook... au pif) car une (plage d') ip est clairement associée a cette entreprise, mais pour tout un tas de sites sur des serveurs mutualisés ou sur du amazon aws & co c'est moins clair...
Tout ce qui permet de rendre la technique moins fiable et plus complexe est bon à prendre.

Comment la justice peut techniquement activer votre caméra ou micro de téléphone?
https://blog.ostraca.fr/blog/commen [...] elephones/

Une vidéo que j'ai dans mes "watch later" : How To Become Invisible Online  https://youtu.be/S4E4yAktjug

 
Ca fait au moins 10 ans que les américains le font (cf. Snowden).
On ne pouvait pas y couper  

Sinon je recommande ce podcast que j'écoute de temps en temps :
 
https://inteltechniques.com/podcast.html

Le travail et le partage de Michael Bazzel sont en effet remarquables. J'ai moyennement accroché au podcast car il y a beaucoup de longues références (auto promo) à ses bouquins.
Après c'est cohérent, et souvent pertinent, mais je trouve le rapport signal/bruit parfois un peu poussif (surtout quand on a déjà lu les bouquins).
N'empêche que le fruit de ses recherches est une vraie pépite. Notamment sur tout ce qui a trait à l'anonymat. Je suis un peu dégouté que le marché US soit si différent par contre, sur tout ce qui est portage de numéros de mobile vers voip, cartes prépayées (aussi bien les SIM que les VISA), ...
 
Kalle Hallden il est dans mes RSS aussi, avec un peu à boire et à manger, mais certains trucs sont intéressants en tant que développeur. Il publie suffisamment rarement (héhé) pour que je checke quand même de temps en temps. Mais la vidéo que tu cites est intéressante et donne une petite idée du bordel pour assurer un vrai anonymat.

 
t'as entendu parler de pegasus?
un ingé m'a soutenu qu'il y en a des dizaines comme lui
bah suffit de légaliser le logiciel (déjà utilisé par les services de renseignements, pour qui c'est le métier), et d'y ajouter un lien d'usage avec la police
pas dur hein..
suffit surtout que le tel en face tourne sur ios ou android et le tour est joué
 
sans de telles prouesses, pegasus n'aurait jamais vu le jour
 
 
et les conversations chiffrées, leur plus grand ennemi est celui qui s'empare de l'appareil

 
La sortie du roman fait suite aux révélations de l’hebdomadaire Die Zeit, mi-avril. Le journal a publié une série de SMS privés écrits par M. Döpfner à de proches collaborateurs, dans lesquels il livre sans fard ses convictions politiques :[...].  
https://www.lemonde.fr/economie/art [...] _3234.html
 
« Quand je suis en colère ou très heureux, mon téléphone portable devient un paratonnerre », a-t-il déclaré, ajoutant qu’il avait envoyé les messages à des personnes « en qui j’ai une grande confiance », pensant qu’elles comprendraient ce qu’il voulait vraiment dire.
https://fr.rssnews.media/monde/un-g [...] s-de-lest/
 
vos correspondances privées ne sont jamais privées
 
ca me rappelle sebsauvage qui s'insurgeait "on va tout droit à l'automodération de ses propos, de sa pensée" on est en plein dedans, bienvenue dans la sélection naturelle =)

Est-ce qu'on sait comment s'installe/fonctionne Pegasus dans le détail ?  
Histoire de savoir si on est vulnérable face à ce genre de logiciels, et ce qu'ils peuvent faire

De ce que j'ai compris, faille de sécurité zéro day, donc en gros besoin de que dalle d'autre que le numéro de téléphone sur la majorité des tels android/ios.
Au départ il fallait un sms + ouverture ou clic sur lien, mais ca n'est plus nécessaire.

D'où le fait aussi que c'est réservé à l'élite, ils ne veulent pas cramer ce genre de faille si ca répend massivement

 
le lien à ouvrir c'était que pendant quelques mois il me semble.. l'un des avcats interviewés a été espionné, il avait lu le sms sans cliquer sur le lien
cependant le mec qu'est passé à la télé par rapport à pegasus (l''ancien agent qu'a écrit un livre traitant du sujet en général) précisait qu'il fallait un piratage coté opérateur pour que le processus fonctionne (ce qui m'étonne fortment)
 
apres que ce soit pegasus ou un autre, si faille de sécurité zero day (ou pas, tous les tels de plus de trois ans ne sont pas "couverts" par des maj régulières, certains sony/samsung un peu anciens sont déjà délaissés en ce sens) sur android ou ios, suffit juste de changer d'appareil pour un truc non smartphonisé, ou une base non ios/android-like : oui, ca existe, yavait un topic dédié mais les modos me sont tombés dessus quand ils ont vu que le "store" est aux antipodes des ios/playstore (mais ca me dérange pas, excepté jabber et les sms, j'ai besoin de rien )

Depuis le lockmode sur iPhone Pegasus n’est plus possible et ça réduit très fortement la possibilité de réaliser des attaques du genre.

Hormis l'annonce et le relai bête et méchant par les médias, tu as trouvé du contenu de qualité qui explore un peu les protections ?
Parce que pour l'instant on en est un peu resté au bullsh*t marketing de base je trouve. J'ai pas fait de recherche poussée non plus, donc je suis preneur d'infos.

 
GrapheneOS ça doit limiter un peu je pense par exemple.

Oui j’ai bien poncé. Ne serait-ce que désactiver JavaScript dans toutes les applications et navigateurs, ça empêche énormément la quasi totalité des attaques. Ça n’a absolument rien de marketing, la liste de fonctionnalités désactivées est explicite et Pegasus a bien été testé sur des iPhones avec ce mode sans succès.

Ok, merci
 
Ça désactive totalement JS ou seulement certaines fonctionnalités susceptibles d'être utilisables à des fins de hack ?
 
Parce que globalement aujourd'hui, sans JS tu ne fais plus grand chose. Enfin tu bloques quasi tout usage du web.
 
Ca transforme un iPHone en Nokia 3310 tactile avec quand même la possibilité d'utiliser Signal en gros

Je suis en montagne à gratter de la 3G avec mon smartphone, pour faire court : https://www.nextinpact.com/article/ [...] ercenaires
 
Il y a également un whitepaper sécurité très approfondi sur le site d’Apple. (sur la sécurité de l’iPhone, pas seulement sur le lockdown mode)
 
Ayant ce mode activité je peux dire que les technologies désactivées en question me sont pour toute application qui fait appel au WebKit Apple (le moteur de navigation web). Dans Safari on peut toutefois décider de mettre un site en exception lorsqu’on rencontre un problème d’affichage trop important ou que le site est totalement cassé, ce qui arrive rarement mais arrive tout de même. Donc il y a un minimum de flexibilité et on est loin d’un Nokia 3310
 
Je ne suis pas particulièrement gêné par la baisse de performances en navigation et la batterie tient très bien.
 
Il y a d’autres fonctionnalités désactivées que celles web cf. Lien poste plus haut.

Pour rester dans le thème, je mets ça là :
 
https://www.lemonde.fr/internationa [...] _3210.html

 
Lien direct : https://help.apple.com/pdf/security [...] -guide.pdf    
 
Lecture vivement recommandée (et c'est tout l'opposé d'un fanboy Apple qui le dit)    

En effet il y a de quoi faire, j'ai lu quelques pages, c'est passionnant. Merci. Ca ira dans le 1er post quand j'aurai un peu de temps.

Snev : bonne balade

Tribune collective parue dans le Monde du 14 juin 2023
Attachés aux libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement de nos communications
 
 
Le chiffrement des communications est un droit indissociable de la protection de la vie privée. Un collectif de cent vingt signataires, à l’initiative de l’association La Quadrature du Net, s’insurge, dans cette tribune publiée dans Le Monde du 14 juin 2023, contre la criminalisation de cette pratique, que ce soit par la police française ou au niveau européen et international.
 
Cette tribune a été rédigée suite à la publication d’un article de la Quadrature sur la criminalisation des pratiques numériques des inculpé·es de l’affaire du 8 décembre.
 
 
Chiffrer ses communications est une pratique banale qui permet qu’une correspondance ne soit lue par personne d’autre que son destinataire légitime. Le droit au chiffrement est le prolongement de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme, qui garantit à chacun le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».
 
Toute personne qui souhaite protéger sa vie privée peut chiffrer ses communications. Cela concerne aussi bien des militants, des défenseurs des droits humains, des journalistes, des avocats, des médecins… que de simples parents ou amis. Dans le monde entier, le chiffrement est utilisé pour enquêter sur la corruption, s’organiser contre des régimes autoritaires ou participer à des transformations sociales historiques. Le chiffrement des communications a été popularisé par des applications comme WhatsApp ou Signal.
 
En 2022, ce sont ainsi plus de deux milliards de personnes qui chiffrent quotidiennement leurs communications pour une raison simple : protéger sa vie privée nous renforce toutes et tous. Pourtant, le droit au chiffrement est actuellement attaqué par les pouvoirs policiers, judiciaires et législatifs en France, mais aussi dans l’Union européenne, au Royaume-Uni et aux Etats-Unis. En tant que société, nous devons choisir. Acceptons-nous un futur dans lequel nos communications privées peuvent être interceptées à tout moment et chaque personne considérée comme suspecte ?
 
Le chiffrement des communications utilisé comme « preuve » d’un comportement clandestin… donc terroriste
La Quadrature du Net a récemment révélé des informations relatives à l’affaire dite du « 8 décembre » (2020) dans laquelle neuf personnes de l’« ultragauche » – dont l’une avait précédemment rejoint la lutte contre l’organisation Etat islamique aux côtés des combattants kurdes des Unités de protection du peuple (YPG) – ont été arrêtées par la DGSI et le RAID. Sept ont été mises en examen pour « association de malfaiteurs terroristes », et leur procès est prévu pour octobre 2023. Ces éléments démontrent, de la part de la police française, une volonté sans précédent de criminaliser l’usage des technologies de protection de la vie privée.
 
Le chiffrement des communications est alors utilisé comme « preuve » d’un comportement clandestin… donc terroriste ! Des pratiques de sécurité numérique parfaitement légales et responsables – dont le chiffrement des communications qui est pourtant soutenu, et recommandé, par de nombreuses institutions, comme les Nations unies, la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’Agence européenne pour la cybersécurité (Enisa) ou la Commission européenne – sont criminalisées à des fins de mise en scène d’un « groupuscule clandestin » vivant dans « le culte du secret ».
 
Outre l’usage de messageries chiffrées sont aussi incriminées des pratiques telles que le recours à des services comme Proton Mail pour chiffrer ses e-mails, l’utilisation d’outils permettant de protéger la confidentialité de sa navigation sur Internet (VPN, Tor, Tails), de se protéger contre la surveillance des Gafam, le simple chiffrement d’ordinateurs personnels ou encore l’organisation de formations à la protection numérique (chiffro-fêtes).
 
Rejet de l’amalgame entre protection des données et terrorisme
Par la criminalisation du chiffrement et de pratiques répandues de sécurité informatique, la police française vise à construire un récit selon lequel les sept personnes mises en examen vivraient « dans la clandestinité ». En l’absence d’un projet terroriste prouvé et avéré, cette prétendue « clandestinité » devient une preuve de l’existence cachée d’un projet inconnu.
 
Nous, journalistes, activistes, fournisseurs de services tech ou simples citoyens attentifs à la protection des données à l’ère numérique, sommes profondément révoltés de voir qu’un tel amalgame entre la protection basique des données et le terrorisme puisse être alimenté par les services de renseignement et la justice antiterroriste française.
 
Nous sommes scandalisé·es que des mesures nécessaires à la protection des données personnelles et de la vie privée soient désignées comme des indices d’« actions conspiratives » de personne vivant supposément dans le « culte du secret ».
 
Nous dénonçons le fait qu’une formation classique et bienveillante au numérique, portant sur Tails, un système d’exploitation grand public développé pour la protection de la vie privée et la lutte contre la censure, puisse constituer un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme ».
 
Sous prétexte de terrorisme, le système judiciaire français incrimine des pratiques basiques de sécurité. Mais l’exemple français ne représente malheureusement pas l’unique tentative d’affaiblir le droit au chiffrement. A Bruxelles, la Commission européenne a proposé en 2022 le règlement Child Sexual Abuse Regulation (CSAR). Au nom de la lutte contre la pédopornographie, ce texte veut obliger les fournisseurs de messageries chiffrées à donner accès à chacun de nos messages pour les vérifier.
 
Pour un numérique émancipateur, libre et décentralisé
De nombreuses voix se sont élevées contre cette proposition, parmi lesquelles celles de cent trente organisations internationales. Elles dénoncent notamment l’absence de considération pour la mise en place d’autres moyens qui permettraient de lutter contre ces graves infractions de manière moins liberticide. De récentes fuites ont d’autre part révélé que des pays comme l’Espagne veulent purement et simplement interdire le chiffrement de bout en bout.
 
En Grande-Bretagne, le projet de loi Online Safety Bill et, aux Etat-Unis, le projet EARN IT s’ajoutent à cette inquiétante guerre contre le chiffrement. Attachés à promouvoir et défendre les libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement et continuerons à utiliser et à créer des outils protégeant la vie privée.
 
Nous refusons que les services de renseignement, les juges ou les fonctionnaires de police puissent criminaliser nos activités au motif qu’elles seraient « suspectes ». Nous continuerons de nous battre pour un numérique émancipateur, libre et décentralisé afin de bâtir une société plus digne pour toutes et tous. Le combat pour le chiffrement est un combat pour un futur juste et équitable.

Ah ouais, utiliser des trucs chiffrés fait de toi un suspect ! J'avais pas entendu parler de cette "polémique"    

Sinon quelque chose que j'aimerais connaître, c'est comment l'empreinte de l'ordi/navigateur est utilisée.
Sur https://amiunique.org/ évidemment je suis unique, rien qu'en utilisant FireFox sur un Macbook je réduis drastiquement les chances de ne pas l'être
J'imagine que les services de renseignements peuvent faire des recoupements et traquer avec ce genre d'infos...

Mais est-ce qu'on sait ce que font les sites en général ?
Si par exemple je fais une recherche sur Google (ou n'importe quel autre site) connecté à mon compte depuis chez moi,
et qu'ensuite je fais une autre recherche, déconnecté, en passant par un VPN,
est-ce que Google va immédiatement me "reconnaître" grâce à cette empreinte unique ?

Est-ce que les sites enregistrent systématiquement ce genre d'infos, font ce genre de recoupements ? Ou alors c'est gardé juste ou cas où ? Ou alors la plus part s'en foutent ?

Est-ce que ça sert à quelque chose le VPN si on est directement grillé avec ça ?
Je sais qu'on peut masquer cette empreinte avec Tor notamment, mais là ça commence à devenir un peu trop contraignant

 
les cookies du navigateur, ca te parle?
sinon si tu passes par un comtpe google, faut pas s'étonner

Sa question est très pertinente je trouve.

Tu peux avoir besoin a un moment ou un autre d'un compte google (j'en ai par exemple pour gérer des pages google business).

Et comme pour les shadow profiles facebook tu peux avoir un ciblage en dehors de tout compte (on ne sait pas exactement qui tu es mais on sait te reconnaitre quand tu passes de site en site (merci google analytics) et on peut enrichir ce profil petit a petit, jusqu'au jour où on pourra le lier à des données plus précises (mail, téléphone, adresse physique... via un site requérant ces infos) ou le rattacher a un compte google si tu fais 1 faute 1 fois. Et on attendant on peut te faire de la pub ciblée sans souci.

Apres je serai aussi curieux de connaître le principe détaillé, notamment le cote adaptatif : comment ils gèrent si 1 paramètre change, par exemple tu changes la taille de ta fenêtre de navigateur, s'ils font un bête md5 de x paramètres ça le pète, donc j'imagine qu'ils ont mis au point un truc de compétition pour optimiser ça. Ca m'intéresse aussi parce que ça peut être utilisé a bon escient : pour lier un cookie d'authentification a 1 machine/utilisateur et éviter le vol de token (virus qui pique les cookies = peut aller se connecter à des sites sur lesquels tu as des comptes en contournant le 2FA)

Merci
 
Donc la réponse n'est pas si évidente que ça ?  
 
 
De même, si on passe par un VPN et Tor pour masquer toute empreinte  
mais qu'en même temps on a des comptes ouverts dans FireFox, est-ce qu'en sortie du serveur du VPN le lien est facilement fait ?

 
le compte utilisateur et/ou l'adresse IP de l'internaute sont quand meme le gros du gros dans l'élaboration de ton profil...
après rien ne les empeche d'en dresser plusieurs, qu'ils rapprocheront ensemble, et qui partageront des poits communs pour cibler de plus en plus
 
si vraiment ya une (légitime) petite paranoïa à etre pisté, autant passer sur tails/tor (certains font ca) ou carrément utiliser gemini
 
je trouve que le combo firefox+noscript est déjà un sacré plus et permet de voir en gros chez quelles url tel site t'embellis.
ca plus un pi-hole et d'autres précautions...

Proton vient de répondre en partie à ma question dans un email de pub

 
C'est sympa, parce que c'est la base de ma manière de naviguer : tunnel SSH (vers un serveur chez un hébergeur) sur mon navigateur firefox (avec des exceptions pour certains sites relous).  
Après si j'étais un utilisateur payant, c'est pas impossible que j'implémente le VPN direct au niveau du routeur pour que 100% du trafic sortant de chez moi passe par lui...
En tout cas toute amélioration de la granularité est bonne à prendre car on n'a pas tous les mêmes besoins.

https://lejournalduhack.com/imessag [...] siphonner/
 
le doc original:
https://s3.documentcloud.org/docume [...] s-data.pdf
 
xmpp/jabber, 100% gratuit, user/mdp et pas d'email/numéro fourni, perfect

Ca date ca...

oui d'il y a dix jours pour le papelard
le document du fbi reste très récent (moins de trois ans) comparé à la difficulté pour déclassifier ce genre d'infos

Nan, j'ai vu passer cet exact same document il y a plus d'un an, et pas sur un forum de niche, sur twitter et sans doute dans les news grand public déjà. La presse oublie vite il semblerait.

edit : la presse en parlait en janvier 2022 après une recherche rapide : https://www.makeuseof.com/messaging-app-metadata-fbi/

oui j'ai souvenir d'avoir vu cet exact document il y a longtemps.
 
ex : https://www.pcmag.com/news/fbi-docu [...] s-stack-up

Document dont personne n'a jamais pu évaluer la véracité de la source d'ailleurs

mais donc la conclusion c'est qu'ils ont accès aux messages Whatsapp uniquement si on fait des sauvegardes sur icloud et que Apple leur donne la clé de déchiffrage ?

Et qu'utiliser signal devrait être obligatoire

Depuis ce document du FBI (sans rapport direct bien entendu et sans ironie) Apple a sorti une nouvelle politique sur son cloud : https://support.apple.com/en-us/HT202303
 
Voir "Advanced Data Protection for iCloud".
 
ça date de la dernière version d'iOS donc de moins d'un an.
 
Et dans ce cas précis Apple n'a pas la clé de chiffrement. ça a fait polémique car ça fâche justement les autorités US. Cela fait suite à l'annulation de leur projet d'analyse d'images dans icloud pour détecter du contenu pédocriminel. Avec cette techno ça ne leur est plus possible car ils n'ont pas accès aux données stockées.