Reprise du message précédent :
Sinon dans un tout autre registre, je persiste avec le clavier Android OpenBoard, honnêtement quelle horreur par rapport à swiftkey. Je crois qu'avec Google Maps c'est vraiment les 2 applis pour lesquelles la valeur ajoutée est vraiment forte.

Et mon espace santé j'ai refusé. On te vend du rêve mais on sait tous la réalité derrière...
On va faire chier les médecins pour que le patient puisse gérer finement les droits de qui a accès à quoi, donc en pratique c'est peu probable qu'un spécialiste X aille chercher tes résultats d'analyses demandés par Y (surtout quand la consultation dure 15 minutes)...mais par contre big pharma irra piocher sans restriction dans tes données pseudo anonymysées pour en faire absolument tout ce qu'il veut sous couvert d'amélioration de la recherche scientifique en te faisant verser une petite larme pour mamie qui aurait pu être sauvée de son cancer du pancréas si tu avais accepté de filer tes données !
Enfin c'est mon opinion.

C'est la leur aussi.  

Tiens, j'ai pensé à vous récemment. Inscription à la CAF, je rentre un RIB, et ils m'indiquent que j'accepte automatiquement le fait qu'ils ont le droit d'aller fouiller le détail du compte indiqué auprès de ma banque
 
Après les adresses mail à utilisation unique, les comptes bancaires dédiés pour chaque service ?

En cas de contrôle il ont accès à tous les comptes via ficoba et ils peuvent consulter les opérations de tes comptes sans te prévenir.

 
J'ai, bien sûr.
Mais ça ne sert pas à grand chose si le mot de passe est visible sur le site.
 
Je n'ai jamais vu un site qui indiquait que le mot de passe serait crypté. HFR par exemple, me semble pas qu'il y ait cette indication

j'en ai vu souvent, dans le mail de confirmation par ex, conservez bien votre mot de passe on ne pourra pas vous le redonner

Moi j'aime bien OSMAnd+. Bien configuré, ça fait vraiment le taff.
Pas pour les bouchons cela dit. Pour les adresses qui déconnent j'utilise GMaps WV.

Et pour les claviers, y'a FlorisBoard. Mais j'avoue pour les prédictions c'est de la grosse daube encore.

Perso j'utilise toujours swiftkey, mais je lui bloque l'accès à internet. ça m'empêche d'utiliser les gif et autres, mais bon...

Moi j'ai créé, j'ai tout bien rentré comme un bon élève avant de me dire que ça puait quand même. Ca fait plus d'un mois que j'ai demandé le téléchargement de mes données pour pouvoir supprimer mon compte par la suite : c'est toujours en cours de traitement. J'ai envoyé une demande de support, mais personne ne me répond. Je me mords un peu les doigts.

en fait c'est juste que maintenant t'es informé, dans les faits, les contrôles existaient déjà

disons que c'est devenu "implicite", en tout cas si un compte avec quelques données personnelles avait un mot de passe non chiffré, ce serait une circonstance aggravante en cas de contrôle/sanction. https://www.cnil.fr/fr/mot-de-passe
après comme pour tout le reste, rien n'empêche de ne pas être conforme à part le risque de sanction en cas de contrôle ou de fuite...

 
Je vais suivre une formation dans le cadre de mon boulot actuel et cette dite formation requiert un ordinateur personnel pour y participer.
 
Bon, sur ce point, je trouve ça pénible mais admettons...
 
Par contre, le point qui me fait tiquer, c'est que l'examen de certification final se fait via un outil (PeopleCert ExamShield) et en lisant la FAQ sur la partie "technique" de ce dit outil, on y trouve notamment cela :
 

 
Je suis pas vraiment chaud à donner accès à ce point à mon ordi à un outil tiers (visiblement ils jouent avec les règles du pare-feu au passage).
 
Est-ce que c'est moi qui suis parano ou pour vous aussi c'est un no-go ?  

Tu mets un DD vierge avec une install fraiche de Windows, si le logiciel d'exam ne tourne pas sur Linux (si oui, pas de DD et Linux booté sur USB)
 
Ça serait bête de pas passer cette certif alors qu'en 1h tu peux te préparer le matos en étant tranquille, amha.

Boot sur un os sur clé USB ou qqch du genre.
Autre approche : faire tourner dans une vm

Au pire en effet échange de disque interne.
Si c'est windows obligatoire c'est un peu moins rigolo (long) mais c'est gérable

Tiens, je viens de lire dans un article d'une revue pro que les assureurs pourraient bientôt (déjà ?) développer des applications sur cette plateforme santé, pour proposer de meilleures "expériences client" en personnalisant leur approche pompant toutes les données sécu.

si les règles de l'examen le justifient (pour éviter la triche ou justifier des pbs de connexion etc.) je vois pas trop le pb, mais c'est mieux de le faire sur un PC vierge au cas où t'as des trucs persos qui tournent en tâche de fond et qui pourraient être loggés...
après, ce que ça prend, c'est ce que tu peux voir dans l'event viewer windows, si tu jettes un oeil dedans, tu verras qu'il y a pas énormément de données réellement perso, ça ressemble a du log informatique et y'a pas de frappe clavier par exemple

ProtonMail viennent de faire une grosse update (15 adresses, 500GB): https://proton.me/

Proton c'est pas ceux qui balancent aux autorités dès la 1ère requête ?

Non.
https://www.journaldugeek.com/2021/ [...] -francais/

pas vraiment, ils ont été obligés de logger les ip et les communiquer suite a une obligation de la justice suisse  
après une requête européenne, pour les contenus, ils n'ont pas accès  
 
edit:  

Bon, j'ai une question con... J'utilise Bitwarden. Je l'ai installé sur mon MBA m1, avec Safari. Je l'ai installé sur mon Ubuntu avec Vivaldi. Et sur mon desktop avec Brave.
Je n'arrive pas à comprendre pourquoi l'extension Bitwarden que j'ai donc installée sur chaque navigateur me demande d'enregistrer tous les mots de passe rentrés dans les navigateurs.
Par exemple, l'onglet HFR Discussion, sur chaque navigateur, je dois enregistrer le mot de passe dans l'extension Bitwarden. Idem avec l'onglet section Technologie mobile.
Donc je me retrouve avec whatmille mots de passe si je vais sur mon compte Bitwarden.
Je pensais que la page, le site, le mot de passe, était enregistré une fois et une seule fois via l'extension, mais il semblerait que non, ou je n'ai rien compris
Par exemple encore, je vais sur le site de Formula 1 TV sur mon MBA. Je rentre mon mot de passe sous Safari. Je vais sur mon Ubuntu et Vivaldi. Je dois à nouveau rentrer mon mot de passe pour l'extension Bitwarden. Mais vu qu'il est déjà enregistré depuis Safari, why qu'il doit être encore enregistré via Vivaldi??

 
C'est pas le cas chez moi.
 
Je rentre un mot de passe sur bitwarden au boulot sur windows, il est sur mon tel et sur mon mac perso directement.
 
T'as un truc qui foire sur ta config  

Bon, je me suis connecté sur le site, mon compte, et j'ai viré toutes les entrées, 500  
Autant repartir à zéro, je préfère.
Mais je ne vois pas dans la config où je m'assure que une fois que mon mot de passe est enregistré via l'extension, par exemple dans Safari, que ce mot de passe ne me soit pas redemandé dans Vivaldi sur mon portable sous Ubuntu ou sous Windows.

Fais un essai avec une entrée avant de te taper les 500
 

Du nouveau sur le front de l'interco des fichiers de polices au niveau UE (empreintes, reco faciales etc)
https://www.nextinpact.com/article/ [...] iciaire-13

L'article complet est... très complet.  
 
/drap

Bon.. Je ne pige pas.
J'ai donc viré toutes mes entrées Bitwarden. Je repars de zéro.
Sur chaque thead de HFR, l'extension Bitwarden me demande si je veux enregistrer le mot de passe. Par exemple, sur Discussion, Protection des données, je peux le rentrer. Et sur les threads Apple, je peux aussi le rentrer. Donc sur chaque thread de HFR où je peux répondre, Bitwarden me demande le mot de passe.
Je vais sur un autre poste, ces mots de passe qui sont sur le serveur Bitwarden, me sont à nouveau demandés. Et je pense, rajoutés sur le serveur.
Donc je me retrouve avec autant de mot de passe que j'ai de threads et de machine sur le serveur Bitwarden....
Je me connecte sur Monster, j'enregistre mon mot de passe à partir de Vivaldi Ubuntu. Je me logue sur Monster sur mon MacBook Safari, j'enregistre encore mon mot de passe sur Bitwarden
 
J'ai loupé une config donc, non?

/!\ Alerte pavé.
 
Bon je sais pas si c'est le topic idéal mais je me lance. Je viens de subir une espèce d'attaque très très étrange.
 
La matérialisation c'est que quelqu'un a réussi à accéder à mon compte Paypal et passer une commande de plus de 3000 euros. Je vous la fait courte mais ça s'est bien résolu (via ma banque et le lieu ou a été passé la commande [boutique française ouf] plus que par Paypal, mais vous allez comprendre pourquoi).
 
Le truc étrange : j'avais l'authentification 2 facteurs (par sms) d'activée... et je n'ai reçu aucun sms au moment où la commande a été passée. J'ai juste reçu un email de Paypal qui semble vouloir dire que j'ai activé la mémorisation des infos de connexion pour pouvoir payer ensuite plus rapidement. Ca mentionne "Desktop Chrome Windows 10 NT 10.0" comme source, qui est un appareil "déjà reconnu" donc ça a pu s'activer sans repasser par le 2FA.
 
L'ip d'origine qui a passé la commande chez le marchand est... la mienne ! Du coup Paypal a rejeté ma demande de litige pour transaction non autorisée car ils considèrent que tout semble normal (ordi déjà reconnu, commande passée depuis mon IP...) Heureusement que côté boutique et banque ils sont plus réactifs !
 
Mon ordi était allumé au moment de la commande mais je n'étais pas devant. Personne d'autre chez moi ne pouvait l'utiliser (c'était tôt le matin on dormait, pas d'ado envieux qui veut claquer discrétos 3 k€ de papa...), personne dans la maison... Fenêtre ouverte mais honnêtement j'ai du mal à imaginer quelqu'un rentrer chez moi par une porte-fênetre à l'étage, trouver comment allumer l'écran (pas sur son bouton mais un interrupteur mural déporté...) passer sa petite commande peinard en trouvant le navigateur qui va bien, avec paypal "pré-autorisé", effacer son historique page par page, et repartir en silence sans piquer le matos photo bien cher posé en évidence sur le bureau. Ca me semble un peu tiré par les cheveux.
 
Je n'utilise quasiment pas Chrome, je n'ai aucune extension chelou dans aucun de mes navigateurs basés sur Chrome. En gros je m'en sers pour passer des commandes où je veux utiliser igraal (je sais c'est mal) ou pour l'extension amazon pour ajouter des "envies cadeau" externes à amazon.com dans ma wishlist qui sert pour ma famille. C'est d'ailleurs pour ça que je n'ai ces extensions "bavardes" que sur un navigateur dédié, qui ne sert qu'à ça.
 
Bref, il faut se rendre à l'évidence. Ca me fait mal au c*l, mais il doit y avoir un machin pas clair qui tourne sur mon ordi. Windows Defender n'a jamais rien détecté (il tourne en permanence, il y a juste les envois à sa maison et les services cloud machin chose qui sont désactivés). J'ai bien quelques faux positifs de détectés mais rien d'inquiétant. J'ai beauuucoup de logiciels sur mon ordi parce que je touche à plein de choses différentes et que mes passions et mes métiers se recoupent beaucoup, donc je n'ai pas une séparation claire de ce côté là. Bref dans 150 logiciels installés, il y a peut-être des choses pas clean (beaucoup de softs type freewares/versions gratuites d'outils également payants, d'open source aussi, parfois de trucs ultra "niche" donc pas forcément "audités" ni sécurisés, mais comment savoir ? Mon install de Windows 10 doit avoir 6/7 ans, forcément ça laisse des traces.
 
Dans mon historique de navigation de Chrome je n'ai rien qui pourrait indiquer la visite du site en question. J'ai une seule entrée chelou mentionnant "Hive Browser" mais ça semble être un contenu vide. Une recherche sur le net ne me renvoie strictement rien.
 
Honnêtement j'ai du mal à capter ce qui a pu se passer. Mon pc n'est pas ouvert de l'extérieur (genre j'ai pas un modem usb branché dessus), c'est même plutôt l'inverse : livebox -> serveur avec OPNsense comme firewall. Pas de NAT vers mon pc, pas d'UPnP.
Côté firewall je n'ai malheureusement pas de logs ou éléments permettant de tracer ce qui a pu se passer.
Le truc le plus probable est donc un malware capable lui de sortir vers l'extérieur et d’interagir avec une source.
Ce qui est surprenant c'est de tomber sur une personne qui passe une commande sur un site français, et cherche à se faire livrer à une adresse en France.
 
Je sais qu'il y a eu une faille assez grave dans Chrome il y a quelques mois, j'ai oublié de vérifier mais j'avais peut-être désactivé les mises à jour auto. J'ai désinstallé Chrome depuis donc je ne saurai jamais. Ca pourrait être une piste mais j'ai du mal à voir comment on peut passer d'une faille dans le navigateur, jamais utilisé pour aller sur des sites chelous, à en gros une prise de contrôle totale au moins du navigateur.
 
Bon l'aspect financier se termine bien (ouf), mais je reste sur ma faim en terme de "débug" de ce qui s'est passé et comment ça a pu se produire. Je ne sais pas l'étendue des dommages potentiels (en gros si c'est limité à Chrome c'est pas la même chose que si tout mon pc a pu être compromis).
 
Ca me rappelle les articles de https://wonderfall.space/ sur le fait que les OS de bureaux sont archaïques en terme de séparation et d'isolation. N'importe quelle appli à l'installation qui a besoin de droits "administrateurs" (c'est un peu tout ou rien, mais c'est vite nécessaire pour plein d'applis) est ensuite totalement libre de faire ce qu'elle veut
 
Ca m'amène à me poser des questions pour améliorer (un peu) la séparation de mes activités mais c'est franchement pas simple.
 
Par exemple faire certaines choses dans des machines virtuelles pourquoi pas, mais si l'hôte est compromis avec un keylogger, il reçoit de toute façon toutes les infos qui sont envoyées ensuite à la VM.
J'ai aussi des activités qui requièrent des performances élevées : montage vidéo, traitement photo, MAO... dans des VM bof.
Je pensais éventuellement faire plusieurs installations de Windows (sur des SSD différents) et booter sur l'un ou l'autre. Par exemple me faire un Windows MAO, avec les applis qui vont bien, et au moins des performances (latence) excellentes.
Mais par exemple avec TPM d'activé (permet de ne pas avoir le mot de passe bitlocker à saisir au boot), je ne sais pas ce qui se passe entre par exemple 2 SSD avec 2 install différentes de Windows. Est-ce que le premier peut accéder au second et inversement ?
 
La suite Adobe qui est dans me utilisations quotidiennes m'impose Windows (pas trop les sous pour un Mac aux perfs équivalentes à mon PC actuel), j'ai du mal à envisager plusieurs PC car j'ai beaucoup de recoupements dans ce que je fais : création de sites web = bureautique pour les devis + mails + code + graphisme + photo + parfois vidéo. J'ai aussi beaucoup de choses en parallèle, par exemple il n'est pas rare que je bosse sur du dev web pro (code), et quand j'ai besoin de faire une pause pour me changer les idées je vais trier des photos perso dans Lightroom... dur de compartimenter.
 
Je réfléchis aussi aux manières de pouvoir mieux monitorer et loguer ce qui se passe sur l'ordi mais ça ne semble pas si évident que ça. Il se passe tellement de choses sur un ordi qui tourne quasi H24 : Nicehash a une activité réseau permanente par exemple. J'ai un navigateur avec en permanence plusieurs fenêtres et des dizaines d'onglets d'ouverts, dont certains font des appels en arrière plan régulièrement...
 
Voilà, si vous avez des idées, des suggestions face à mon histoire, n'hésitez-pas.

Si la machine est compromise il faut tout formater déjà.

T'as un wifi ?

oui j'ai du wifi.  
- pas sur mon pc principal
- très peu probable qu'il soit accessible à des personnes ayant les compétences pour le hacker (je connais les voisins des maisons autour).
- assez peu de choses exotiques connectées dessus. 1 lampe avec un dimmer wifi et une appli spécialisée chinoise (Magic home), un réveil connecté pour les enfants (Urbanhello Remi), le reste est plutôt standard (modules sonoff sous tasmota), smartphones, tablette et laptop de ma femme, ...
 
Ca peut faire une porte d'entrée sur le LAN, mais il faut encore ensuite pouvoir accéder à mon pc (vu le compte Paypal déjà autorisé via 2FA).
 
Sur le même principe j'ai d'autres machines sur le LAN connectées H24 (raspberry pi, orange pi, un serveur proxmox...). Certains ont quelques ports exposés sur l'extérieur (serveur web notamment).  Je n'ai pas encore plongé dans l'analyse de leurs logs, mais je doute quand même d'y trouver quoi que ce soit.

Je pense que tu devrais demander sur un topic technique plutôt qu'ici.

Bon j'ai fait une réinstall de Windows, j'en ai profité pour migrer sur W11.
 
Il y a des bons tutos pour optimiser la gestion de la vie privée sur W11 ?
 
J'ai quelques conteneurs truecrypt, je réinstalle TC 7.1a ou je passe à un Veracrypt à jour ?

 

 
Bueler? Bueler? Bueler?  
 
Le moindre thread, Bitwarden me demande si je veux enregistrer le mot de passe. Je suppose que c'est parce que l'URL n'est pas la même.  
Mais si vous n'avez pas ce problème, alors j'ai tort. Et donc je ne comprends pas.

 
Il faut enregistrer le mot de passe avec https://forum.hardware.fr dans l'adresse et non https://forum.hardware.fr/*topics visités*

Vu mes histoires récentes de hack je remets un peu le nez dans ma manière de gérer mes e-mails. J'ai pas mal de boîtes à droite à gauche, des imports de l'une vers l'autre, ... c'est un peu le bazar.
 
Le premier truc qui m'interpelle : je n'ai du 2FA nulle part, principalement parce que j'utilise surtout l'imap et thunderbird sur pc + k9mail (ou fairmail, je suis entre les deux en ce moment) sur Android... mais les webmails existent pour certaines boîtes.
 
Je peux activer le 2FA chez mailo par exemple, mais pas chez ovh. J'ai aussi des serveurs mails que je gère moi-même, pour l'instant je n'ai pas vu de moyen spécifique d'implémenter le 2FA... bon en même temps je n'ai aucun webmail sur ces adresses donc ça n'a pas grande importance.
Chez mailo je crois qu'ils font un pass spécifique si on veut permettre aux applis tierces d'y accéder (imap). Je ne sais trop qu'en penser.
 
J'avais envisagé éventuellement de me saigner et de prendre un abonnement proton et de tout gérer dans l'app, mais ça n'est pas pratique parce que j'ai besoin de pouvoir gérer plusieurs noms de domaines différents (pouvoir envoyer des mails en tant que depart@monsite1.com ou depart@monsite2.com) et un abo chez eux pour plusieurs domaines c'est hors de mes moyens (il m'en faudrait 4 ou 5).
 
Avec le 2FA, j'ai aussi un peu peur des situations du genre : tu fais tomber ton smartphone de ta poche (dans l'eau, tu le perds, il meurt...whatever) et tu te retrouves à la porte de chez toi, tout est verrouillé, ta vie est bloquée de partout parce que tout te demande l'accès à ta boîte mail.
 
Bref je serai curieux de savoir ce que vous avez mis en place.
 
En gros j'ai des boites :
- contact@monnomprenom.com -> mail plan chez OVH -> pour tout ce qui est d'ordre personnel + les organismes vraiment officiels (impots, santé, ...).
- unaliasàlacon@mailo.com -> le tout venant sur le net (commandes, forums, ...)
- unautrealias@mailo.com -> quand je veux vraiment séparer et utiliser une adresse qui ne sert qu'à peu de choses, jamais liée à mon adresse physique...). Ca tombe dans la même boite que l'autre alias. Je n'utilise jamais le nom du compte@mailo.com, juste des alias.
- contact@site1.com / contact@site2.com / contact@... + d'autres @ du même genre (postmaster, abuse, newsletter, ...) -> auto hébergés, pour mes usages pros de ces services là.
J'ai quelques autres alias, sites, et d'autres boites importées aussi automatiquement par mailo (l'un des rares qui fasse ça hormis gmail) pour récupérer des mails d'anciennes boites + de trucs "dont on ne peut pas faire autrement", genre la boite orange associée à ma connex internet, ...
 
Bref, ça fait beaucoup de choses à des endroits différents, c'est pour ça que j'aime bien l'imap et les applis qui gèrent le multi compte, mais niveau protection c'est pas foufou

question, ma fille de 12 ans va avoir un smartphone sous android pour lequel de base il faut une adresse gmail pour le playstore ce qui ne m'enchante pas plus que ça. Donc je pensais en faire une juste pour android et ensuite qu'elle utilise un autre provider de mail plus respectueux de la vie privée. De mon côté j'utilise protonmail mais a priori avec les nouvelles grilles même si je suis en unlimited il n'y a plus de possibilité de créer un compte rattaché au mien.  
Auriez vous des conseils sur un provider qui reste simple à utiliser (via une appli mail ou appli fournisseur) ? J'ai vu tutanota, mailo ou posteo par exemple.

Mailo a l'avantage d'avoir une appli dédié enfant.

Mailo c'est pas mal. Et tu créés 2 ou 3 alias direct, genre tu ouvres le compte sur un truc du genre  xbz3h48@mailo.com par exemple, ca sera l'identifiant en quelque sorte.
Ensuite tu créés 2 alias :
Mailpoubelle@mailo.com pour le compte Google
Sonnomprénom@mailo.com pour sa vraie adresse.

Le gros avantage c'est que si un jour email+pass fuite et qu'il y a le même mot de passe réutilisé, ça ne permet pas se loguer à sa boite mail avec le couple email+pass qui a fuité.

 
Je suis chez proton (multi-domaine, payant donc ) avec 2FA yubikey.
Comme ça même si tu paumes ton tel, tu as toujours ta clef (et tu peux avoir un backup).

2FA avec TOTP, backup de la base.
Accès OK depuis PC.

C'est récent la prise en charge de la clé ?
Vais aller configurer ça.  

Je l'utilise aussi sur Bitwarden pour ouvrir le coffre quand on est déconnecté.