Reprise du message précédent :

Clairement, la dernière en date c'est un malware qui a permis de récupérer énormément de données, dont des données bancaires.  
 
J'ai pas ces retours là.  
 
La newsletter aura du retard.

Développe.

Ben que c'est mal contrôlé, moins que google play et que certaines applications intègrent des malwares bien relous.

Moi j'ai lu que c'était eux qui compilaient sur sources, et tu peux constater que toutes les applis dessus sont open-source.

Pff aucune alternative bien sérieuse du coup

open source ça veut pas dire non plus exempt de connards.  
Mais de toute façon la question reste la même quand on parle de sécurité c'est la confiance" et c'est une notion très dure à mettre en oeuvre avec nos outils.

Après la plus sérieuse reste lineage ou /e/ en faisant gaffe à ce que tu télécharges. Y a aps de secret, faut s'impliquer.

Et apkpure ou apkmirror? C'est plus "safe" ?

iOS.  

Je suis un anti Apple de la première heure et pourtant... Fan de Google au début... Et maintenant je me dis qu'Apple est moins pire...  

Ce qui sauve, c'est de se dire qu'on peut installer du Google sur du Apple donc au final...  

 
C'est con à dire mais oui

Bof, ils Envoient aussi des infos.

je teste donc linageOS. Par contre, en clavier, j'utilisais swiftkey, mais bon, il est connecté tout ça....je ne sais pas quoi en penser....que conseille le topic la dessus?

Ils sont pas tout blanc non.  
 
https://www.01net.com/actualites/po [...] 19684.html
 
Et j'en profite pour vous laisser ça là : https://snowdamnwhite.wordpress.com [...] tter-31-x/

SwiftKey appartient à M$ maintenant .
Pas encore trouver de bonne alternative en clavier .

je suis tombé sur anysoft keyboard, je teste, ça n'a pas l'air trop mal pour le moment

+1, c'est ce que j'utilise.
Mais il n'est quand même pas au niveau de swiftkey niveau prédiction

La prédiction c'est de la merde.

Je voulais parler de l'autocorrection, mon mauvais

Surement. J'en ai pas trouvé des bonnes moi encore.  
Mais la prédiction c'est le genre de trucs que je désactive rapidement, c'est des saloperies ce genre de trucs.

https://www.forbes.com/sites/thomas [...] 1633672bdc
Ça va c'est anonymisé

J'aime bien ce genre de sites avec la popup sur les cookies où :
1/ tu cliques sur "accepter", en 1/10è de seconde tu as accès au site. En gros pour balancer ton id unique à whatmille régies publicitaires c'est instantané
2/ tu cliques plutôt sur "plus d'infos, tu n'acceptes que le strict minimum"... là d'un seul coup tu as un process bien long (parfois plusieurs dizaines de secondes), pour... ? ... heu... en théorie ne rien faire...  
 
Il faut arrêter de prendre les gens pour des c*ns, franchement le RGPD a clairement oublié d'imposer des contraintes techniques, notamment en terme de paramétrage navigateur, on en a ras le bol de devoir cliquer sur leurs popups de me*de pour aller cocher/décocher des dizaines de partenaires juste pour aller consulter 1 page d'un site web.
Ils auraient du imposer la mise en place d'outils techniques pour que le navigateur soit paramétrable sur les 3 ou 4 paramètres type (cookies nécessaires au fonctionnement, stats, pub...) avec ensuite la possibilité de paramétrer plus finement site par site. Il y avait d'ailleurs déjà le Do Not Track, le principe était déjà en place, il n'y avait plus qu'à affiner !!! Eventuellement pour faire plaisir aux publicitaires ajouter un paramètre pour autoriser ou non une demande de mise en whitelist de la part du site (un peu comme on l'a pour la géoloc, les notifications...). Comme ça tout le monde est content. Celui qui veut tout verrouiller il passe 10 secondes dans les paramètres du navigateur et ensuite il est peinard à jamais !
 
Au lieu de ça on se tape cette grosse merdasse non uniformisée.
Tiens d'ailleurs, il y a des plugins pour firefox pour bypasser les popups TrustE, Quantcast et compagnie ? Genre pour n'accepter par défaut que les cookies "obligatoires" et dégager tout le reste.

C'est le cas. Il y a uniquement un problème de non-sanction pour l'instant (en France, la CNIL laisse couler jusqu'à 2020 avant de sanctionner)
Cf. Art. 2 de la Délibération n° 2019-093 du 4 juillet 2019:

 
D'ailleurs, les sanctions devraient commencer sous peu pour certains cas extrêmes (cf. https://www.nextinpact.com/news/108 [...] t-cnil.htm )
 

AMHA le plus simple c'est « I don't care about cookies » couplé à « uMatrix »

Me semble que le i don't care about cookies accepte automatiquement les cookies mais je suis pas sur sur.

+1 pour I don't care about cookies, ça sauve bien !  
J'ai mis le lien amo universel.

C'est un paramètre de l'add-on :

Ah cool ! merci.
J'avais testé i don't care about cookies il y a bien longtemps mais je ne sais plus pourquoi je me rends compte que je ne l'avais plus d'installée.
C'est réinstallé.

Je ne sais pas si vous avez vu ça :
 
https://www.01net.com/actualites/av [...] 21784.html
 

 
 
Mais bien sûr c'est "anonyme"    

Oops OTAN pour moi

J'aurais pu résumer, le lien comme ça c'est moche et n'invite pas à se rewnseigner :x

J'espère qu'avast ont suivi les recommandations de pseudonymisation de l'enisa

(Désolé pour ce semi-HS)

Il y a bien Protonmail dans le Store /e/. Je viens de regarder sur le mien.

Et on peut télécharger l'apk de Signal sur leur site aussi .

D après les tickets ouverts pas sur oneplus 5

Salut,  
 
Nouvelle newsletter (en retard).  
 
Bien à vous.  

C'est chiant les newsletters comme ça pour répondre ici

Histoire de vulgariser l'attaque des hashtables :
Une table de hachage c'est une structure de données qui associe des clés (de n'importe quel type) à des valeurs (de n'importe quel type). Le problème est que la mémoire d'un ordi ne peut associer que des clés de type « nombre entier naturel » à des valeurs (on va dire de n'importe quel type pour simplifier l'explication). Du coup il faut une fonction qui transforme une clé « n'importe quel type » en clé « entier naturel » : on appelle ça une fonction de hashage (pour info, si md5, sha-1, sha-256 ou bcrypt te disent quelque chose, ce sont aussi des fonctions de hachage).

Par exemple, une fonction de hachage pour transformer des chaînes de caractères pourrait être "a" -> 97, "b" -> 98, "aa" -> 97097, "ab" -> 97098 (pour ceux à qui ça parle, j'ai juste pris le code ascii décimal de chaque caractère de la liste).
Le problème est qu'on ne peut pas utiliser directement ce hash comme clé « entier naturel » car sinon pour contenir une unique valeur ayant pour clé "a" il faudrait un tableau de 97 éléments, et si cette unique valeur a pour clé "aaaa" il faudrait un tableau de 97 milliards d'éléments (97,097,097,097 minimum en fait). On voit bien qu'on va vite utiliser toute la mémoire de l'ordi pour stocker une seule valeur, c'est pas top.
Pour éviter ça, les hash des clés vont être organisées en buckets (je ne sais pas s'il y a un terme français pour ça) en utilisant l'opération modulo (noté %).
On va donc utiliser un tableau ayant uniquement N éléments (N étant le nombre de buckets qu'on souhaite mettre). Normalement comme N est très largement inférieur au nombre maximum atteignable par les résultats de la fonction de hachage, on gagne énormément en mémoire parce que notre tableau sera beaucoup plus petit.

Imaginons qu'on prenne N = 2. On aura donc en mémoire un tableau avec 2 indices : 0 et 1 (en informatique on compte les indices de tableau à partir de 0, c'est plus simple).
Pour ajouter un élément avec la clé "a". Le hash est donc 97. 97 % N = 1 donc on va le mettre dans le bucket d'indice 1. Pour ajouter un élément avec la clé "b", on va le mettre dans le bucket d'indice 0 (car 98 % 2 = 0).
Si maintenant on veut ajouter un nouvel élément de clé "c", il faudra le mettre dans le bucket d'indice 1 (hash("c" ) = 99 et 99 % 2 = 1).
Problème : notre bucket d'indice 1 est déjà rempli par l'élément d'indice "a". Il faut soit mettre les deux éléments ("a" et "c" ) dans le même bucket, ce qui peut poser des problèmes de performance quand il y a trop d'élément par bucket, soit il faut créer plus de buckets : ce qu'on appelle une opération de re-hachage.
C'est une opération qui est très coûteuse en temps parce qu'il faut créer un nouveau tableau ayant une taille correspondante au nouveau nombre de buckets puis passer en revue tous les éléments qui sont dans la table de hachage pour leur attribuer leur nouveau bucket.
Dans notre cas, on va utiliser un nouveau nombre de bucket N=3. On crée le nouveau tableau puis on parcours les éléments : "a" va aller dans le bucket 1 (97%3 = 1), "b" va aller dans le bucket 2 (98%3 = 2), et ensuite on pourra insérer "c" dans le bucket 0 (99%3 = 0).
Ça peut paraître facile comme ça, mais quand on a plusieurs milliards d'éléments à parcourir ça peut prendre pas mal de temps.
Normalement, pour éviter ça, chaque bucket ne contient pas qu'un seul élément mais une liste d'éléments et on re-hache uniquement quand une liste devient "trop grande" (i.e contient trop d'éléments, le nombre exact étant un paramètre fourni par le programmeur).

L'attaque se situe exactement au niveau du re-hachage : si on connaît dans quel bucket chaque élément va tomber, il est assez facile d'y insérer énormément de valeurs tombant toutes dans le même bucket, déclenchant beaucoup de re-hachages à suivre. Comme c'est une opération lourde, on peut vite tomber à la limite du CPU et du coup rendre inopérable la machine  
Le seul moyen de mitiger (sans réduire totalement le risque) ça c'est d'utiliser une fonction de hachage qui répartisse parfaitement les éléments dans les buckets. Si on arrive à avoir ça, on aura besoin d'un re-hachage uniquement quand la capacité limite (nombre de buckets × taille maximum d'un bucket) sera atteinte (soit le nombre minimal de re-hachage théoriquement atteignable).
Le problème est que les fonctions de hachage actuelles (du moins celles des bibliothèques standards de pas mal de langages de programmations) n'ont pas cette propriété, donc c'est une faille qu'un attaquant peut utiliser
L'article termine en présentant SipHash, une nouvelle fonction de hachage qui, même si elle n'est pas théoriquement parfaite (aucune fonction ne peut l'être), est beaucoup mieux que les fonctions de hachage actuellement utilisées, permettant de diminuer le risque d'être touché par cette attaque

EDIT: j'espère que j'ai assez vulgarisé, hésitez pas à poser des questions si besoin

Je sais mais j'ai pas le temps de m'occuper de ce qu'a fait glubovore. A la limite on peut se faire un MP groupé et je vous donne des accès pour la partie "technique" du truc pour que je sois "que" rédacteur.

Impressionnant (mais je n'y connais rien ) :
Une petite vue du pentagone :
https://twitter.com/i/status/1207653794462535680
 
L'article (opinion) du NYT :
Twelve Million Phones, One Dataset, Zero Privacy
https://www.nytimes.com/interactive [...] phone.html
 
Senior Defense Department official and his wife identified at the Women’s March :
https://int.nyt.com/data/videotape/ [...] s-800w.mp4

https://m.nextinpact.com/brief/inqu [...] -10768.htm

L'hallu. Ça continue... Encore et encore.
Mais ne vous inquiétez pas, c'est anonyme, et les Metadata ça ne permet pas grand chose

Sinon comme ça je me demandais, d'après-vous nos gouvernements ont il accès aux box des FAI ?
Cad la possibilité de rentrer sur nos lans ?
Ça me semble assez simple à mettre en place (vu le faible nombre d'opérateurs /box en France). En gros tu as 4 portes dérobées à imposer chez les Orange /Bouygues /free/sfr et tu as un accès royal chez à peu près tout le monde.

Vous pensez que si c'était le cas on le saurait clairement via des remontées d'infos genre "tiens ma bécane derrière ma box s'est fait scanner la tête depuis l'intérieur"?