Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
918 connectés 

 


 Mot :   Pseudo :  
  Aller à la page :
 
 Page :   1  2  3  4  5  ..  40  41  42  43  44  45
Auteur Sujet :

[Topic Unique] Protection des données FP màj merci glubovore

n°65738601
depart
Posté le 20-04-2022 à 18:59:27  profilanswer
 

Reprise du message précédent :
Sinon dans un tout autre registre, je persiste avec le clavier Android OpenBoard, honnêtement quelle horreur par rapport à swiftkey. Je crois qu'avec Google Maps c'est vraiment les 2 applis pour lesquelles la valeur ajoutée est vraiment forte.

 

Et mon espace santé j'ai refusé. On te vend du rêve mais on sait tous la réalité derrière...
On va faire chier les médecins pour que le patient puisse gérer finement les droits de qui a accès à quoi, donc en pratique c'est peu probable qu'un spécialiste X aille chercher tes résultats d'analyses demandés par Y (surtout quand la consultation dure 15 minutes)...mais par contre big pharma irra piocher sans restriction dans tes données pseudo anonymysées pour en faire absolument tout ce qu'il veut sous couvert d'amélioration de la recherche scientifique en te faisant verser une petite larme pour mamie qui aurait pu être sauvée de son cancer du pancréas si tu avais accepté de filer tes données !
Enfin c'est mon opinion.

Message cité 1 fois
Message édité par depart le 20-04-2022 à 19:56:16
mood
Publicité
Posté le 20-04-2022 à 18:59:27  profilanswer
 

n°65739403
moustacko
Posté le 20-04-2022 à 20:28:42  profilanswer
 

C'est la leur aussi.  :sweat:

n°65747575
Gutsy
Posté le 21-04-2022 à 11:43:39  profilanswer
 

Tiens, j'ai pensé à vous récemment. Inscription à la CAF, je rentre un RIB, et ils m'indiquent que j'accepte automatiquement le fait qu'ils ont le droit d'aller fouiller le détail du compte indiqué auprès de ma banque :o
 
Après les adresses mail à utilisation unique, les comptes bancaires dédiés pour chaque service ? :o

n°65748250
valaj
Posté le 21-04-2022 à 13:11:36  profilanswer
 

Gutsy a écrit :

Tiens, j'ai pensé à vous récemment. Inscription à la CAF, je rentre un RIB, et ils m'indiquent que j'accepte automatiquement le fait qu'ils ont le droit d'aller fouiller le détail du compte indiqué auprès de ma banque :o

 

Après les adresses mail à utilisation unique, les comptes bancaires dédiés pour chaque service ? :o


En cas de contrôle il ont accès à tous les comptes via ficoba et ils peuvent consulter les opérations de tes comptes sans te prévenir.

n°65783780
LeKeiser
Appelez moi Marcel.
Posté le 25-04-2022 à 21:53:30  profilanswer
 

ortf a écrit :

Je ne pense pas que tu aies moyen de vérifier si c’est bien chiffré.
Parfois le site le précise, est-ce pourtant le cas ?
Et il y a encore quelques sites qui envoient l’identifiant et le mot de passe en clair par mail…
Prends un gestionnaire de mot de passe :o


 
J'ai, bien sûr.
Mais ça ne sert pas à grand chose si le mot de passe est visible sur le site.
 
Je n'ai jamais vu un site qui indiquait que le mot de passe serait crypté. HFR par exemple, me semble pas qu'il y ait cette indication :??:


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
n°65786861
Cuistot
Maitre nageur
Posté le 26-04-2022 à 11:00:16  profilanswer
 

LeKeiser a écrit :


 
J'ai, bien sûr.
Mais ça ne sert pas à grand chose si le mot de passe est visible sur le site.
 
Je n'ai jamais vu un site qui indiquait que le mot de passe serait crypté. HFR par exemple, me semble pas qu'il y ait cette indication :??:


j'en ai vu souvent, dans le mail de confirmation par ex, conservez bien votre mot de passe on ne pourra pas vous le redonner


---------------
... . -. -..   -. ..- -.. . ...
n°65796115
SanPe'
Membre n°312819
Posté le 27-04-2022 à 12:36:02  profilanswer
 

depart a écrit :

Sinon dans un tout autre registre, je persiste avec le clavier Android OpenBoard, honnêtement quelle horreur par rapport à swiftkey. Je crois qu'avec Google Maps c'est vraiment les 2 applis pour lesquelles la valeur ajoutée est vraiment forte.


Moi j'aime bien OSMAnd+. Bien configuré, ça fait vraiment le taff.
Pas pour les bouchons cela dit. Pour les adresses qui déconnent j'utilise GMaps WV.

 

Et pour les claviers, y'a FlorisBoard. Mais j'avoue pour les prédictions c'est de la grosse daube encore.

 

Perso j'utilise toujours swiftkey, mais je lui bloque l'accès à internet. ça m'empêche d'utiliser les gif et autres, mais bon...

 
depart a écrit :

Et mon espace santé j'ai refusé. On te vend du rêve mais on sait tous la réalité derrière...
On va faire chier les médecins pour que le patient puisse gérer finement les droits de qui a accès à quoi, donc en pratique c'est peu probable qu'un spécialiste X aille chercher tes résultats d'analyses demandés par Y (surtout quand la consultation dure 15 minutes)...mais par contre big pharma irra piocher sans restriction dans tes données pseudo anonymysées pour en faire absolument tout ce qu'il veut sous couvert d'amélioration de la recherche scientifique en te faisant verser une petite larme pour mamie qui aurait pu être sauvée de son cancer du pancréas si tu avais accepté de filer tes données !
Enfin c'est mon opinion.


Moi j'ai créé, j'ai tout bien rentré comme un bon élève avant de me dire que ça puait quand même. Ca fait plus d'un mois que j'ai demandé le téléchargement de mes données pour pouvoir supprimer mon compte par la suite : c'est toujours en cours de traitement. J'ai envoyé une demande de support, mais personne ne me répond. Je me mords un peu les doigts.


Message édité par SanPe' le 27-04-2022 à 12:38:56

---------------
"Vous avez beau travailler dur, devenir intelligent, on se rappellera toujours de vous pour la mauvaise raison."
n°65797260
Fender
♪♫♪♫♪♫♪
Posté le 27-04-2022 à 15:08:06  profilanswer
 

Gutsy a écrit :

Tiens, j'ai pensé à vous récemment. Inscription à la CAF, je rentre un RIB, et ils m'indiquent que j'accepte automatiquement le fait qu'ils ont le droit d'aller fouiller le détail du compte indiqué auprès de ma banque :o
 
Après les adresses mail à utilisation unique, les comptes bancaires dédiés pour chaque service ? :o


en fait c'est juste que maintenant t'es informé, dans les faits, les contrôles existaient déjà


---------------
we are the dollars and cents
n°65797312
Fender
♪♫♪♫♪♫♪
Posté le 27-04-2022 à 15:13:50  profilanswer
 

LeKeiser a écrit :

 

J'ai, bien sûr.
Mais ça ne sert pas à grand chose si le mot de passe est visible sur le site.

 

Je n'ai jamais vu un site qui indiquait que le mot de passe serait crypté. HFR par exemple, me semble pas qu'il y ait cette indication :??:


disons que c'est devenu "implicite", en tout cas si un compte avec quelques données personnelles avait un mot de passe non chiffré, ce serait une circonstance aggravante en cas de contrôle/sanction. https://www.cnil.fr/fr/mot-de-passe
après comme pour tout le reste, rien n'empêche de ne pas être conforme à part le risque de sanction en cas de contrôle ou de fuite...


Message édité par Fender le 27-04-2022 à 15:14:56

---------------
we are the dollars and cents
n°65820282
b0wh
Posté le 01-05-2022 à 12:38:16  profilanswer
 

:hello:
 
Je vais suivre une formation dans le cadre de mon boulot actuel et cette dite formation requiert un ordinateur personnel pour y participer.
 
Bon, sur ce point, je trouve ça pénible mais admettons...
 
Par contre, le point qui me fait tiquer, c'est que l'examen de certification final se fait via un outil (PeopleCert ExamShield) et en lisant la FAQ sur la partie "technique" de ce dit outil, on y trouve notamment cela :
 

Citation :

Section 3: Data Storage & Data Protection
 
Is there a requirement for data (Audio/Video/Screenshare/chat) to be transferred/stored elsewhere?
 
ExamShield transfers candidate’s Audio, Video, Desktop and Chat streams, required for the exam sitting purposes, to PeopleCert cloud servers.
 
Does the system collect and retain logs of events such as user events and system events?
 
ExamShield collects and records user and system events towards ensuring exam integrity. All data areretained in accordance with PeopleCert’s retention policy.
 
Who within PeopleCert organization has access to this data?
 
Access to the data is provided only to certified Role-based personnel.
 
Does ExamShield have access to Sensitive Personal Identifiable Data?
 
Towards ensuring exam integrity and verifying candidate’s identity ExamShield records candidate’s ID document and camera feed. No additional Sensitive Personal Identifiable data are collected or processed.


 
Je suis pas vraiment chaud à donner accès à ce point à mon ordi à un outil tiers (visiblement ils jouent avec les règles du pare-feu au passage).
 
Est-ce que c'est moi qui suis parano ou pour vous aussi c'est un no-go ?  [:clooney11]

mood
Publicité
Posté le 01-05-2022 à 12:38:16  profilanswer
 

n°65821041
fret6
Posté le 01-05-2022 à 15:17:00  profilanswer
 

Tu mets un DD vierge avec une install fraiche de Windows, si le logiciel d'exam ne tourne pas sur Linux (si oui, pas de DD et Linux booté sur USB)
 
Ça serait bête de pas passer cette certif alors qu'en 1h tu peux te préparer le matos en étant tranquille, amha.


---------------
Stamba blo Fridom - Documentaire sur l'indépendance du Vanuatu - En accès libre et gratuit
n°65821595
depart
Posté le 01-05-2022 à 17:22:52  profilanswer
 

Boot sur un os sur clé USB ou qqch du genre.
Autre approche : faire tourner dans une vm

 

Au pire en effet échange de disque interne.
Si c'est windows obligatoire c'est un peu moins rigolo (long) mais c'est gérable


Message édité par depart le 01-05-2022 à 17:23:54
n°65823882
b0wh
Posté le 02-05-2022 à 00:23:57  profilanswer
 

:jap:

n°65824886
Gutsy
Posté le 02-05-2022 à 10:21:54  profilanswer
 

el tarlo a écrit :

D'après vous faut-il s'opposer à la création de son "Mon espace santé" ?
Avec la création automatique des espaces sous peu ça me semble vain  [:tim_coucou]


Tiens, je viens de lire dans un article d'une revue pro que les assureurs pourraient bientôt (déjà ?) développer des applications sur cette plateforme santé, pour proposer de meilleures "expériences client" en personnalisant leur approche pompant toutes les données sécu.

n°65824977
Fender
♪♫♪♫♪♫♪
Posté le 02-05-2022 à 10:36:55  profilanswer
 

b0wh a écrit :

:hello:

 

Je vais suivre une formation dans le cadre de mon boulot actuel et cette dite formation requiert un ordinateur personnel pour y participer.

 

Bon, sur ce point, je trouve ça pénible mais admettons...

 

Par contre, le point qui me fait tiquer, c'est que l'examen de certification final se fait via un outil (PeopleCert ExamShield) et en lisant la FAQ sur la partie "technique" de ce dit outil, on y trouve notamment cela :

 
Citation :

Section 3: Data Storage & Data Protection

 

Is there a requirement for data (Audio/Video/Screenshare/chat) to be transferred/stored elsewhere?

 

ExamShield transfers candidate’s Audio, Video, Desktop and Chat streams, required for the exam sitting purposes, to PeopleCert cloud servers.

 

Does the system collect and retain logs of events such as user events and system events?

 

ExamShield collects and records user and system events towards ensuring exam integrity. All data areretained in accordance with PeopleCert’s retention policy.

 

Who within PeopleCert organization has access to this data?

 

Access to the data is provided only to certified Role-based personnel.

 

Does ExamShield have access to Sensitive Personal Identifiable Data?

 

Towards ensuring exam integrity and verifying candidate’s identity ExamShield records candidate’s ID document and camera feed. No additional Sensitive Personal Identifiable data are collected or processed.

 

Je suis pas vraiment chaud à donner accès à ce point à mon ordi à un outil tiers (visiblement ils jouent avec les règles du pare-feu au passage).

 

Est-ce que c'est moi qui suis parano ou pour vous aussi c'est un no-go ?  [:clooney11]


si les règles de l'examen le justifient (pour éviter la triche ou justifier des pbs de connexion etc.) je vois pas trop le pb, mais c'est mieux de le faire sur un PC vierge au cas où t'as des trucs persos qui tournent en tâche de fond et qui pourraient être loggés...
après, ce que ça prend, c'est ce que tu peux voir dans l'event viewer windows, si tu jettes un oeil dedans, tu verras qu'il y a pas énormément de données réellement perso, ça ressemble a du log informatique et y'a pas de frappe clavier par exemple


Message édité par Fender le 02-05-2022 à 10:39:27

---------------
we are the dollars and cents
n°65992482
Rasthor
Posté le 25-05-2022 à 16:24:52  profilanswer
 

ProtonMail viennent de faire une grosse update (15 adresses, 500GB): https://proton.me/

n°65993076
valaj
Posté le 25-05-2022 à 17:47:11  profilanswer
 

Rasthor a écrit :

ProtonMail viennent de faire une grosse update (15 adresses, 500GB): https://proton.me/


Proton c'est pas ceux qui balancent aux autorités dès la 1ère requête ? :o

n°65993118
Rasthor
Posté le 25-05-2022 à 17:54:06  profilanswer
 

valaj a écrit :


Proton c'est pas ceux qui balancent aux autorités dès la 1ère requête ? :o


Non.
https://www.journaldugeek.com/2021/ [...] -francais/

Citation :

Sous le feu des critiques, le fondateur de l’entreprise a tenu à clarifier la situation sur Twitter. Il explique ainsi : “Quelques réflexions sur l’incident du ‘militant climatique’ français. Il est déplorable que les outils juridiques pour des crimes graves soient utilisés de cette façon, mais par la loi, Protonmail doit se conformer aux enquêtes pénales suisses. Ceci n’est évidemment pas fait par défaut, mais seulement si légalement contraint.”

n°65993133
Cuistot
Maitre nageur
Posté le 25-05-2022 à 17:56:12  profilanswer
 

valaj a écrit :


Proton c'est pas ceux qui balancent aux autorités dès la 1ère requête ? :o


pas vraiment, ils ont été obligés de logger les ip et les communiquer suite a une obligation de la justice suisse  
après une requête européenne, pour les contenus, ils n'ont pas accès  
 
edit:  [:grilled]


Message édité par Cuistot le 25-05-2022 à 17:56:58

---------------
... . -. -..   -. ..- -.. . ...
n°65999125
LeKeiser
Appelez moi Marcel.
Posté le 26-05-2022 à 21:11:52  profilanswer
 

:hello:
Bon, j'ai une question con... J'utilise Bitwarden. Je l'ai installé sur mon MBA m1, avec Safari. Je l'ai installé sur mon Ubuntu avec Vivaldi. Et sur mon desktop avec Brave.
Je n'arrive pas à comprendre pourquoi l'extension Bitwarden que j'ai donc installée sur chaque navigateur me demande d'enregistrer tous les mots de passe rentrés dans les navigateurs.
Par exemple, l'onglet HFR Discussion, sur chaque navigateur, je dois enregistrer le mot de passe dans l'extension Bitwarden. Idem avec l'onglet section Technologie mobile.
Donc je me retrouve avec whatmille mots de passe si je vais sur mon compte Bitwarden.
Je pensais que la page, le site, le mot de passe, était enregistré une fois et une seule fois via l'extension, mais il semblerait que non, ou je n'ai rien compris [:gratgrat]
Par exemple encore, je vais sur le site de Formula 1 TV sur mon MBA. Je rentre mon mot de passe sous Safari. Je vais sur mon Ubuntu et Vivaldi. Je dois à nouveau rentrer mon mot de passe pour l'extension Bitwarden. Mais vu qu'il est déjà enregistré depuis Safari, why qu'il doit être encore enregistré via Vivaldi?? :??:

Message cité 1 fois
Message édité par LeKeiser le 26-05-2022 à 21:12:36

---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
n°66038402
speedboyz3​0
Guide Michelin :o
Posté le 01-06-2022 à 13:50:15  profilanswer
 

LeKeiser a écrit :

:hello:
Bon, j'ai une question con... J'utilise Bitwarden. Je l'ai installé sur mon MBA m1, avec Safari. Je l'ai installé sur mon Ubuntu avec Vivaldi. Et sur mon desktop avec Brave.
Je n'arrive pas à comprendre pourquoi l'extension Bitwarden que j'ai donc installée sur chaque navigateur me demande d'enregistrer tous les mots de passe rentrés dans les navigateurs.  
Par exemple, l'onglet HFR Discussion, sur chaque navigateur, je dois enregistrer le mot de passe dans l'extension Bitwarden. Idem avec l'onglet section Technologie mobile.  
Donc je me retrouve avec whatmille mots de passe si je vais sur mon compte Bitwarden.
Je pensais que la page, le site, le mot de passe, était enregistré une fois et une seule fois via l'extension, mais il semblerait que non, ou je n'ai rien compris [:gratgrat]
Par exemple encore, je vais sur le site de Formula 1 TV sur mon MBA. Je rentre mon mot de passe sous Safari. Je vais sur mon Ubuntu et Vivaldi. Je dois à nouveau rentrer mon mot de passe pour l'extension Bitwarden. Mais vu qu'il est déjà enregistré depuis Safari, why qu'il doit être encore enregistré via Vivaldi?? :??:


 
C'est pas le cas chez moi.
 
Je rentre un mot de passe sur bitwarden au boulot sur windows, il est sur mon tel et sur mon mac perso directement.
 
T'as un truc qui foire sur ta config  [:zyzz:2]

n°66046369
LeKeiser
Appelez moi Marcel.
Posté le 02-06-2022 à 14:16:30  profilanswer
 

Bon, je me suis connecté sur le site, mon compte, et j'ai viré toutes les entrées, 500 :ouch:  
Autant repartir à zéro, je préfère.
Mais je ne vois pas dans la config où je m'assure que une fois que mon mot de passe est enregistré via l'extension, par exemple dans Safari, que ce mot de passe ne me soit pas redemandé dans Vivaldi sur mon portable sous Ubuntu ou sous Windows.


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
n°66046865
speedboyz3​0
Guide Michelin :o
Posté le 02-06-2022 à 15:16:05  profilanswer
 

Fais un essai avec une entrée avant de te taper les 500 :o
 

n°66050873
Rajman
Faculté
Posté le 03-06-2022 à 09:04:22  profilanswer
 

Du nouveau sur le front de l'interco des fichiers de polices au niveau UE (empreintes, reco faciales etc)
https://www.nextinpact.com/article/ [...] iciaire-13

Citation :

Les ministères de l'Intérieur et de la Justice cherchent un prestataire pour interconnecter le Fichier automatisé des empreintes digitales (FAED) et le Casier judiciaire national (CJN), et élargir leurs interconnexions avec d'autres fichiers de police ou judiciaires européens.


L'article complet est... très complet.  
 
/drap

n°66228568
LeKeiser
Appelez moi Marcel.
Posté le 28-06-2022 à 07:58:22  profilanswer
 

Bon.. Je ne pige pas.
J'ai donc viré toutes mes entrées Bitwarden. Je repars de zéro.
Sur chaque thead de HFR, l'extension Bitwarden me demande si je veux enregistrer le mot de passe. Par exemple, sur Discussion, Protection des données, je peux le rentrer. Et sur les threads Apple, je peux aussi le rentrer. Donc sur chaque thread de HFR où je peux répondre, Bitwarden me demande le mot de passe.
Je vais sur un autre poste, ces mots de passe qui sont sur le serveur Bitwarden, me sont à nouveau demandés. Et je pense, rajoutés sur le serveur.
Donc je me retrouve avec autant de mot de passe que j'ai de threads et de machine sur le serveur Bitwarden....
Je me connecte sur Monster, j'enregistre mon mot de passe à partir de Vivaldi Ubuntu. Je me logue sur Monster sur mon MacBook Safari, j'enregistre encore mon mot de passe sur Bitwarden :heink:
 
J'ai loupé une config donc, non?


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
n°66239031
depart
Posté le 29-06-2022 à 12:03:56  profilanswer
 

/!\ Alerte pavé.
 
Bon je sais pas si c'est le topic idéal mais je me lance. Je viens de subir une espèce d'attaque très très étrange.
 
La matérialisation c'est que quelqu'un a réussi à accéder à mon compte Paypal et passer une commande de plus de 3000 euros. Je vous la fait courte mais ça s'est bien résolu (via ma banque et le lieu ou a été passé la commande [boutique française ouf] plus que par Paypal, mais vous allez comprendre pourquoi).
 
Le truc étrange : j'avais l'authentification 2 facteurs (par sms) d'activée... et je n'ai reçu aucun sms au moment où la commande a été passée. J'ai juste reçu un email de Paypal qui semble vouloir dire que j'ai activé la mémorisation des infos de connexion pour pouvoir payer ensuite plus rapidement. Ca mentionne "Desktop Chrome Windows 10 NT 10.0" comme source, qui est un appareil "déjà reconnu" donc ça a pu s'activer sans repasser par le 2FA.
 
L'ip d'origine qui a passé la commande chez le marchand est... la mienne ! Du coup Paypal a rejeté ma demande de litige pour transaction non autorisée car ils considèrent que tout semble normal (ordi déjà reconnu, commande passée depuis mon IP...) Heureusement que côté boutique et banque ils sont plus réactifs !
 
Mon ordi était allumé au moment de la commande mais je n'étais pas devant. Personne d'autre chez moi ne pouvait l'utiliser (c'était tôt le matin on dormait, pas d'ado envieux qui veut claquer discrétos 3 k€ de papa...), personne dans la maison... Fenêtre ouverte mais honnêtement j'ai du mal à imaginer quelqu'un rentrer chez moi par une porte-fênetre à l'étage, trouver comment allumer l'écran (pas sur son bouton mais un interrupteur mural déporté...) passer sa petite commande peinard en trouvant le navigateur qui va bien, avec paypal "pré-autorisé", effacer son historique page par page, et repartir en silence sans piquer le matos photo bien cher posé en évidence sur le bureau. Ca me semble un peu tiré par les cheveux.
 
Je n'utilise quasiment pas Chrome, je n'ai aucune extension chelou dans aucun de mes navigateurs basés sur Chrome. En gros je m'en sers pour passer des commandes où je veux utiliser igraal (je sais c'est mal) ou pour l'extension amazon pour ajouter des "envies cadeau" externes à amazon.com dans ma wishlist qui sert pour ma famille. C'est d'ailleurs pour ça que je n'ai ces extensions "bavardes" que sur un navigateur dédié, qui ne sert qu'à ça.
 
Bref, il faut se rendre à l'évidence. Ca me fait mal au c*l, mais il doit y avoir un machin pas clair qui tourne sur mon ordi. Windows Defender n'a jamais rien détecté (il tourne en permanence, il y a juste les envois à sa maison et les services cloud machin chose qui sont désactivés). J'ai bien quelques faux positifs de détectés mais rien d'inquiétant. J'ai beauuucoup de logiciels sur mon ordi parce que je touche à plein de choses différentes et que mes passions et mes métiers se recoupent beaucoup, donc je n'ai pas une séparation claire de ce côté là. Bref dans 150 logiciels installés, il y a peut-être des choses pas clean (beaucoup de softs type freewares/versions gratuites d'outils également payants, d'open source aussi, parfois de trucs ultra "niche" donc pas forcément "audités" ni sécurisés, mais comment savoir ? Mon install de Windows 10 doit avoir 6/7 ans, forcément ça laisse des traces.
 
Dans mon historique de navigation de Chrome je n'ai rien qui pourrait indiquer la visite du site en question. J'ai une seule entrée chelou mentionnant "Hive Browser" mais ça semble être un contenu vide. Une recherche sur le net ne me renvoie strictement rien.
 
Honnêtement j'ai du mal à capter ce qui a pu se passer. Mon pc n'est pas ouvert de l'extérieur (genre j'ai pas un modem usb branché dessus), c'est même plutôt l'inverse : livebox -> serveur avec OPNsense comme firewall. Pas de NAT vers mon pc, pas d'UPnP.
Côté firewall je n'ai malheureusement pas de logs ou éléments permettant de tracer ce qui a pu se passer.
Le truc le plus probable est donc un malware capable lui de sortir vers l'extérieur et d’interagir avec une source.
Ce qui est surprenant c'est de tomber sur une personne qui passe une commande sur un site français, et cherche à se faire livrer à une adresse en France.
 
Je sais qu'il y a eu une faille assez grave dans Chrome il y a quelques mois, j'ai oublié de vérifier mais j'avais peut-être désactivé les mises à jour auto. J'ai désinstallé Chrome depuis donc je ne saurai jamais. Ca pourrait être une piste mais j'ai du mal à voir comment on peut passer d'une faille dans le navigateur, jamais utilisé pour aller sur des sites chelous, à en gros une prise de contrôle totale au moins du navigateur.
 
Bon l'aspect financier se termine bien (ouf), mais je reste sur ma faim en terme de "débug" de ce qui s'est passé et comment ça a pu se produire. Je ne sais pas l'étendue des dommages potentiels (en gros si c'est limité à Chrome c'est pas la même chose que si tout mon pc a pu être compromis).
 
Ca me rappelle les articles de https://wonderfall.space/ sur le fait que les OS de bureaux sont archaïques en terme de séparation et d'isolation. N'importe quelle appli à l'installation qui a besoin de droits "administrateurs" (c'est un peu tout ou rien, mais c'est vite nécessaire pour plein d'applis) est ensuite totalement libre de faire ce qu'elle veut :(
 
Ca m'amène à me poser des questions pour améliorer (un peu) la séparation de mes activités mais c'est franchement pas simple.
 
Par exemple faire certaines choses dans des machines virtuelles pourquoi pas, mais si l'hôte est compromis avec un keylogger, il reçoit de toute façon toutes les infos qui sont envoyées ensuite à la VM.
J'ai aussi des activités qui requièrent des performances élevées : montage vidéo, traitement photo, MAO... dans des VM bof.
Je pensais éventuellement faire plusieurs installations de Windows (sur des SSD différents) et booter sur l'un ou l'autre. Par exemple me faire un Windows MAO, avec les applis qui vont bien, et au moins des performances (latence) excellentes.
Mais par exemple avec TPM d'activé (permet de ne pas avoir le mot de passe bitlocker à saisir au boot), je ne sais pas ce qui se passe entre par exemple 2 SSD avec 2 install différentes de Windows. Est-ce que le premier peut accéder au second et inversement ?
 
La suite Adobe qui est dans me utilisations quotidiennes m'impose Windows (pas trop les sous pour un Mac aux perfs équivalentes à mon PC actuel), j'ai du mal à envisager plusieurs PC car j'ai beaucoup de recoupements dans ce que je fais : création de sites web = bureautique pour les devis + mails + code + graphisme + photo + parfois vidéo. J'ai aussi beaucoup de choses en parallèle, par exemple il n'est pas rare que je bosse sur du dev web pro (code), et quand j'ai besoin de faire une pause pour me changer les idées je vais trier des photos perso dans Lightroom... dur de compartimenter.
 
Je réfléchis aussi aux manières de pouvoir mieux monitorer et loguer ce qui se passe sur l'ordi mais ça ne semble pas si évident que ça. Il se passe tellement de choses sur un ordi qui tourne quasi H24 : Nicehash a une activité réseau permanente par exemple. J'ai un navigateur avec en permanence plusieurs fenêtres et des dizaines d'onglets d'ouverts, dont certains font des appels en arrière plan régulièrement...
 
Voilà, si vous avez des idées, des suggestions face à mon histoire, n'hésitez-pas.


Message édité par depart le 29-06-2022 à 12:11:36
n°66240092
valaj
Posté le 29-06-2022 à 14:13:29  profilanswer
 

Si la machine est compromise il faut tout formater déjà.

n°66243515
Profil sup​primé
Posté le 29-06-2022 à 21:24:37  answer
 

T'as un wifi ?


Message édité par Profil supprimé le 29-06-2022 à 21:27:42
n°66243927
depart
Posté le 29-06-2022 à 22:22:40  profilanswer
 

oui j'ai du wifi.  
- pas sur mon pc principal
- très peu probable qu'il soit accessible à des personnes ayant les compétences pour le hacker (je connais les voisins des maisons autour).
- assez peu de choses exotiques connectées dessus. 1 lampe avec un dimmer wifi et une appli spécialisée chinoise (Magic home), un réveil connecté pour les enfants (Urbanhello Remi), le reste est plutôt standard (modules sonoff sous tasmota), smartphones, tablette et laptop de ma femme, ...
 
Ca peut faire une porte d'entrée sur le LAN, mais il faut encore ensuite pouvoir accéder à mon pc (vu le compte Paypal déjà autorisé via 2FA).
 
Sur le même principe j'ai d'autres machines sur le LAN connectées H24 (raspberry pi, orange pi, un serveur proxmox...). Certains ont quelques ports exposés sur l'extérieur (serveur web notamment).  Je n'ai pas encore plongé dans l'analyse de leurs logs, mais je doute quand même d'y trouver quoi que ce soit.


Message édité par depart le 29-06-2022 à 22:56:23
n°66275875
Poly
Posté le 04-07-2022 à 15:05:02  profilanswer
 

Je pense que tu devrais demander sur un topic technique plutôt qu'ici.

n°66295734
depart
Posté le 06-07-2022 à 18:44:38  profilanswer
 

Bon j'ai fait une réinstall de Windows, j'en ai profité pour migrer sur W11.
 
Il y a des bons tutos pour optimiser la gestion de la vie privée sur W11 ?
 
J'ai quelques conteneurs truecrypt, je réinstalle TC 7.1a ou je passe à un Veracrypt à jour ?

n°66324266
LeKeiser
Appelez moi Marcel.
Posté le 11-07-2022 à 08:00:06  profilanswer
 

LeKeiser a écrit :

Bon.. Je ne pige pas.
J'ai donc viré toutes mes entrées Bitwarden. Je repars de zéro.
Sur chaque thead de HFR, l'extension Bitwarden me demande si je veux enregistrer le mot de passe. Par exemple, sur Discussion, Protection des données, je peux le rentrer. Et sur les threads Apple, je peux aussi le rentrer. Donc sur chaque thread de HFR où je peux répondre, Bitwarden me demande le mot de passe.
Je vais sur un autre poste, ces mots de passe qui sont sur le serveur Bitwarden, me sont à nouveau demandés. Et je pense, rajoutés sur le serveur.
Donc je me retrouve avec autant de mot de passe que j'ai de threads et de machine sur le serveur Bitwarden....
Je me connecte sur Monster, j'enregistre mon mot de passe à partir de Vivaldi Ubuntu. Je me logue sur Monster sur mon MacBook Safari, j'enregistre encore mon mot de passe sur Bitwarden :heink:
 
J'ai loupé une config donc, non?


 
:bounce:
 
Bueler? Bueler? Bueler?  
 
Le moindre thread, Bitwarden me demande si je veux enregistrer le mot de passe. Je suppose que c'est parce que l'URL n'est pas la même.  
Mais si vous n'avez pas ce problème, alors j'ai tort. Et donc je ne comprends pas.


---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
n°66367712
speedboyz3​0
Guide Michelin :o
Posté le 18-07-2022 à 10:57:10  profilanswer
 

LeKeiser a écrit :


 
:bounce:
 
Bueler? Bueler? Bueler?  
 
Le moindre thread, Bitwarden me demande si je veux enregistrer le mot de passe. Je suppose que c'est parce que l'URL n'est pas la même.  
Mais si vous n'avez pas ce problème, alors j'ai tort. Et donc je ne comprends pas.


 
Il faut enregistrer le mot de passe avec https://forum.hardware.fr dans l'adresse et non https://forum.hardware.fr/*topics visités*

n°66393933
depart
Posté le 21-07-2022 à 14:53:52  profilanswer
 

Vu mes histoires récentes de hack je remets un peu le nez dans ma manière de gérer mes e-mails. J'ai pas mal de boîtes à droite à gauche, des imports de l'une vers l'autre, ... c'est un peu le bazar.
 
Le premier truc qui m'interpelle : je n'ai du 2FA nulle part, principalement parce que j'utilise surtout l'imap et thunderbird sur pc + k9mail (ou fairmail, je suis entre les deux en ce moment) sur Android... mais les webmails existent pour certaines boîtes.
 
Je peux activer le 2FA chez mailo par exemple, mais pas chez ovh. J'ai aussi des serveurs mails que je gère moi-même, pour l'instant je n'ai pas vu de moyen spécifique d'implémenter le 2FA... bon en même temps je n'ai aucun webmail sur ces adresses donc ça n'a pas grande importance.
Chez mailo je crois qu'ils font un pass spécifique si on veut permettre aux applis tierces d'y accéder (imap). Je ne sais trop qu'en penser.
 
J'avais envisagé éventuellement de me saigner et de prendre un abonnement proton et de tout gérer dans l'app, mais ça n'est pas pratique parce que j'ai besoin de pouvoir gérer plusieurs noms de domaines différents (pouvoir envoyer des mails en tant que depart@monsite1.com ou depart@monsite2.com) et un abo chez eux pour plusieurs domaines c'est hors de mes moyens (il m'en faudrait 4 ou 5).
 
Avec le 2FA, j'ai aussi un peu peur des situations du genre : tu fais tomber ton smartphone de ta poche (dans l'eau, tu le perds, il meurt...whatever) et tu te retrouves à la porte de chez toi, tout est verrouillé, ta vie est bloquée de partout parce que tout te demande l'accès à ta boîte mail.
 
Bref je serai curieux de savoir ce que vous avez mis en place.
 
En gros j'ai des boites :
- contact@monnomprenom.com -> mail plan chez OVH -> pour tout ce qui est d'ordre personnel + les organismes vraiment officiels (impots, santé, ...).
- unaliasàlacon@mailo.com -> le tout venant sur le net (commandes, forums, ...)
- unautrealias@mailo.com -> quand je veux vraiment séparer et utiliser une adresse qui ne sert qu'à peu de choses, jamais liée à mon adresse physique...). Ca tombe dans la même boite que l'autre alias. Je n'utilise jamais le nom du compte@mailo.com, juste des alias.
- contact@site1.com / contact@site2.com / contact@... + d'autres @ du même genre (postmaster, abuse, newsletter, ...) -> auto hébergés, pour mes usages pros de ces services là.
J'ai quelques autres alias, sites, et d'autres boites importées aussi automatiquement par mailo (l'un des rares qui fasse ça hormis gmail) pour récupérer des mails d'anciennes boites + de trucs "dont on ne peut pas faire autrement", genre la boite orange associée à ma connex internet, ...
 
Bref, ça fait beaucoup de choses à des endroits différents, c'est pour ça que j'aime bien l'imap et les applis qui gèrent le multi compte, mais niveau protection c'est pas foufou :(

Message cité 1 fois
Message édité par depart le 21-07-2022 à 15:15:36
n°66420797
Flipper203
Posté le 25-07-2022 à 16:50:39  profilanswer
 

question, ma fille de 12 ans va avoir un smartphone sous android pour lequel de base il faut une adresse gmail pour le playstore ce qui ne m'enchante pas plus que ça. Donc je pensais en faire une juste pour android et ensuite qu'elle utilise un autre provider de mail plus respectueux de la vie privée. De mon côté j'utilise protonmail mais a priori avec les nouvelles grilles même si je suis en unlimited il n'y a plus de possibilité de créer un compte rattaché au mien.  
Auriez vous des conseils sur un provider qui reste simple à utiliser (via une appli mail ou appli fournisseur) ? J'ai vu tutanota, mailo ou posteo par exemple.

n°66422802
Profil sup​primé
Posté le 25-07-2022 à 22:54:55  answer
 

Mailo a l'avantage d'avoir une appli dédié enfant.

n°66430474
depart
Posté le 27-07-2022 à 08:11:47  profilanswer
 

Mailo c'est pas mal. Et tu créés 2 ou 3 alias direct, genre tu ouvres le compte sur un truc du genre  xbz3h48@mailo.com par exemple, ca sera l'identifiant en quelque sorte.
Ensuite tu créés 2 alias :
Mailpoubelle@mailo.com pour le compte Google
Sonnomprénom@mailo.com pour sa vraie adresse.

 

Le gros avantage c'est que si un jour email+pass fuite et qu'il y a le même mot de passe réutilisé, ça ne permet pas se loguer à sa boite mail avec le couple email+pass qui a fuité.

n°66431103
speedboyz3​0
Guide Michelin :o
Posté le 27-07-2022 à 09:58:56  profilanswer
 

depart a écrit :

J'avais envisagé éventuellement de me saigner et de prendre un abonnement proton et de tout gérer dans l'app, mais ça n'est pas pratique parce que j'ai besoin de pouvoir gérer plusieurs noms de domaines différents (pouvoir envoyer des mails en tant que depart@monsite1.com ou depart@monsite2.com) et un abo chez eux pour plusieurs domaines c'est hors de mes moyens (il m'en faudrait 4 ou 5).
 
Avec le 2FA, j'ai aussi un peu peur des situations du genre : tu fais tomber ton smartphone de ta poche (dans l'eau, tu le perds, il meurt...whatever) et tu te retrouves à la porte de chez toi, tout est verrouillé, ta vie est bloquée de partout parce que tout te demande l'accès à ta boîte mail.
 
Bref je serai curieux de savoir ce que vous avez mis en place.


 
Je suis chez proton (multi-domaine, payant donc :o ) avec 2FA yubikey.
Comme ça même si tu paumes ton tel, tu as toujours ta clef (et tu peux avoir un backup).

n°66431139
Profil sup​primé
Posté le 27-07-2022 à 10:03:20  answer
 

2FA avec TOTP, backup de la base.
Accès OK depuis PC.

n°66456022
Winpoks
Posté le 31-07-2022 à 08:21:18  profilanswer
 

C'est récent la prise en charge de la clé ?
Vais aller configurer ça.  :O

n°66456063
speedboyz3​0
Guide Michelin :o
Posté le 31-07-2022 à 08:38:11  profilanswer
 

Je l'utilise aussi sur Bitwarden pour ouvrir le coffre quand on est déconnecté.

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  ..  40  41  42  43  44  45

Aller à :
Ajouter une réponse
 

Sujets relatifs
Formula E [Topic unique][Topic Unique] Amazon Prime Video - La SVOD Premium
[TU] Instant Pot ---> R2D2 cuisine pour vous !!!!![Topic unique] Arrival (2016)
[topic unique] Blade Runner 2049 - sortie 4/10/2017 avec Harrison FordTopic Unique Jeu Conan de Monolith
topic unique - GIN-MAKERS @HFR[Topic unique] Cent Patates
[Topic Unique] La contraception – Où, quand, comment ?[Topic unique] Miss France 2017 - Miss Guyane élue Miss France 2017
Plus de sujets relatifs à : [Topic Unique] Protection des données FP màj merci glubovore


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR