cg a écrit 1730 commentaires

Tu devrais lui dire que Whatsapp et les autres réseaux sociaux sont interdits aux moins de 13 ans et que la police va passer dans les classes, succès assuré à la récré ;).

Alors je n'ai rien prétendu d'aussi con :), j'ai parlé pour le cas général, pour lequel les données sont accessibles côté serveur. Dans le cas d'applications en E2EE (Signal, WhatsApp, mail avec GPG), on ne peut pas chercher côté serveur¹.

C'était plus en opposition entre GMail et Proton, par exemple.

D'où l'intérêt de filigraner ses documents. Même si le filigrane est possible à enlever, cela peut inciter les pirates à passer au document d'après.

En l'occurrence la grande a 13 ans. Ce doit être la dernière de sa classe à ne pas avoir de téléphone.

Ce site liste bon an mal an les fuites de données (Autosur y est): https://bonjourlafuite.eu.org/

Tu as tout à fait raison concernant ISO27001, c'est une certification qui atteste que tu suis un certain nombre de pratiques concernant la sécurité de l'information, ou au moins que tu t'en occupe. Aujourd'hui, il est très difficile de se prémunir de toutes les tentatives d'intrusion :(.

Le RGPD oblige les entreprises à annoncer les fuites aux personnes dont les données ont fuité, et rend juridiquement responsable les entreprises des fuites si les moyens de protection sont insuffisants. Gageons que ça aide à monter le niveau, petit à petit.

L'article de Zataz dit que les fichiers volés contiennent des données sensible. Du point de vue du RGPD, ce n'est pas le cas, les informations comme nom/prénom/adresse mail… n'en sont pas.

Avec dlopen(), tu peux avoir un programme qui compile mais plante de la même façon à l'exécution.

Tu peux aussi compiler un programme, le faire fonctionner, mettre à jour la distrib, et hop ça ne fonctionne plus.

Avec de la compilation entièrement statique, tu n'as certes pas ce genre de problème, tu en as d'autres :).

Suite à vos conseils et retours, on a créé une adresse Free attachée à l'abonnement Internet, on verra bien comment ça se passe !

Merci et bon dimanche !

Je doute qu'à l'heure actuelle les données soient réellement chiffrées. Les serveurs ont très vraisemblablement des chiffrements au niveau des communications, et sur les support de stockages, mais les données en elle-même j'en doute. Si vous avez de sources sur le chiffrement des données en interne, ça m'intéresse.

Oui, les données sont chiffrées côté client chez certains prestataires comme Proton (ce qu'on appelle le zéro knowledge), mais pas chez Google, Meta ou autres, sinon la fonction de recherche dans les messages ne fonctionnerait tout simplement pas.

Sur le principe du nom, je suis d'accord. En pratique, il se trouve que j'ai un nom de domaine qui répond aux critères que tu donnes, et c'est un peu pénible (et source d'erreurs) de devoir dicter son adresse mail :-/.

Mais je retiens de ne pas en faire des caisses non plus, c'est pas non plus un tatouage :).

Tu as raison, le + fait partie du standard, mais est rejeté sur pas mal de sites. Le - est plus passe-partout.

Les systèmes professionnels vont se différencier […]

J'ai un petit oscilloscope de poche pas cher et open hardware (DSO Nano v2), et sur certains montage, brancher la sonde modifie le comportement… Pas pratique pour deboguer :(. L'oscilloscope Tektronix de bureau n'a pas ce problème.

Peut-être que les versions suivantes du DSO sont plus fiables, et comparer un objet à 50€ avec un oscillo à plus de 1500€, c'est pas du jeu :).

(est-il correct de traduire "malicious compliance" par grève du zèle ?)

Incroyable, j'étais persuadé que ce policies.json n'était pris en compte que sur firefox-esr. Tout simplement excellent !

Ça me peinerai qu'elle se crée une adresse gmail, mais bon, elle n'est pas moi :).

Merci pour ton retour, je vais y réfléchir !

L'article de Bleeping Computer sur le sujet est un résumé assez clair (pour qui lit l'anglais), et confirme que c'est juste un élément dans un exploit potentiel qui se ferait en combinant plusieurs trous de sécurité.

Comme le dit Misc, c'est somme toutes assez classique entre entités privées.

De ce que j'ai pu expérimenter concernant des exigences de sécurité entre un client États-Uniens et un fournisseur/sous-traitant (contractor) Français, chaque règle se fait selon la loi locale en vigueur.

Exemple typique, si le client demande que les antécédents judiciaires soient contrôlés pour chaque embauche, et bien le fournisseur Français répond que c'est illégal en France et qu'il ne peut pas s'y conformer. Le client a alors le choix le changer de fournisseur ou d'accepter l'exception par-rapport à ses habitudes.

Et en effet, là ou ça devient intéressant, c'est quand il y a peu de choix dans les fournisseurs. Le client ne peut pas forcément changer facilement :).

Par contre, en terme politiques, ce genre de lettre peut donner apporter de l'eau au moulin des partis Français qui sont sur une ligne anti-diversité, puisqu'ils peuvent alors argumenter que les lois sur la diversité pénalisent les entreprises qui souhaitent travailler avec les États-Unis.

J'avoue, j'ai relu trois fois.

Je crois que le truc, c'est que tu peux faire des manips que tu ne devrait pas pouvoir faire, et donc potentiellement, si les autres couches de sécurité autour sont trouées, réaliser un exploit.

Donc en gros, sur x couches de sécurité, il y en a une qui est exploitable, il faut la renforcer, car on ne peut pas présumer que les autres couches seront toujours solides.

Un truc de ce genre ?

Ça me semble plus utile et moins risqué de déposer des plaintes auprès de la police, si les personnes concernées ont l'énergie et les moyens de le faire. Et si elles le font, ces personnes n'ont par contre aucun intérêt à l'annoncer sur Internet.

Le texte dépeint une bien triste réalité. Ça me fait mal pour les personnes qui sont agressées. Force à elles !

C'est drôle, j'ai fait ça tout à l'heure :p.

En créant un fichier /etc/firefox/syspref.js, tu peux mettre des réglages par défaut, et éventuellement les verrouiller. Les réglages sont ceux qui proviennent de la page about:config.

pref("un.reglage.personnalisé", valeur);
pref("un.reglage.personnalisé", valeur, locked);

Exemples :

// Une bonne page de démarrage
pref("browser.startup.homepage", "https://linuxfr.org/");
// Désactiver l'intégration avec Pocket par défaut
pref("extensions.pocket.enabled", false);
// Désactiver les anciennes versions de TLS, sans possibilité de changer le paramètre
pref("security.tls.version.enable-deprecated", false, locked);

Ceci fonctionne également avec les versions non-ESR de Firefox.

Boh…

~ $ cat x.sh 
if [ $vide -eq 7 ]; then 
    echo "Joie."

~ $ bash x.sh
f.sh: line 4: syntax error: unexpected end of file

Pourtant: "Espressif will provide a fix that removes access to these HCI debug commands through a software patch for currently supported ESP-IDF versions".

En ce jour de marche contre les discriminations, il faut aussi se montrer tolérant.

8 Mo de mémoire vive

8 Go :)

Dommage de ne pas mettre les ports RJ45 en 10Gps.