La Russie assène une amende à Apple pour ne pas avoir empêché ses utilisateurs d'"accéder à de la propagande LGBT". Mais Apple ayant exigé que le procès se déroule à huis-clos, on en saura pas plus. En tous cas, ça semble montrer qu'Apple n'est pas très fier et préfère se plier aux ordre de Moscou. (Comme tous les GAFAM, pour que ça impacte le moins possible leur business.)

Rappelons qu'Apple n'est pas le valereux chevalier défenseur de votre vie privée : il a supprimé le chiffrement de bout en bout en Grande-Bretagne sur demande du gouvernement (https://sebsauvage.net/links/?Cjcr0g), enregistre votre voix même quand vous n'utilisez pas SIRI (https://sebsauvage.net/links/?TnFnmw), supprime plus d'application VPN de son store que ne le demande le gouvernement russe (https://sebsauvage.net/links/?0bR1mQ), conserve vos photos sur son cloud même quand vous les supprimez (https://sebsauvage.net/links/?U9ogIA), donne à la dictature chinoise des fichiers d'utilisateurs Apple sur iCloud (https://sebsauvage.net/links/?JHQ_iQ), etc.

Alors attention je ne vais pas être gentil.

⚪ « Notre soutien à l’Europe a toujours été – et demeurera – inébranlable »
Comme quand tu fourguais à l'Europe une version de ton navigateur avec un chiffrement *fortement* affaibli pendant que les USA profitaient du chiffrement fort ?
Ou alors tu veux parler des failles de sécurité dont tu informes le gouvernement américain immédiatement, mais que tu gardes au chaud pour le reste du monde jusqu'à *UN MOIS* avant de les rendre publiques ?

⚪ il entend matérialiser et renforcer « l'interdépendance économique »
ça on a bien compris que tu voulais fortement cette interdépendance "tu nous donnes de l'argent"/"on te donnes des services".

⚪ « Aujourd’hui, nous annonçons notre intention d’augmenter la capacité de nos centres de données en Europe de 40 % au cours des deux prochaines années »
Gardes la, ton IA à la con. Personne n'en veux.

⚪ « dizaines de milliards de dollars par an dans l’expansion de ses centres de données à travers l’Europe »
Et arrêtes de nous piquer notre électricité pour ton IA.

⚪ « En France, Microsoft s’est associé à Capgemini et Orange »
Mon chaton, claironner qu'on s'allie avec les pires CASSOS Franco-Européens bouffeurs d'argent publique, auteurs de vaporware et qui livrent des projets codés avec le cul, on ne va PAS te féliciter.
(Les CASSOS: Capgemini, Atos, Sopra Steria, Orange et SIA Partners.)

⚪  « Entre autres, nous avons engagé quatre actions en justice contre le pouvoir exécutif américain pendant le mandat du président Obama, notamment pour défendre la confidentialité des données de nos clients aux États-Unis et en Europe »
Certes, mais cela n'a toujours pas aboli la loi américaine FISA à laquelle tu es *toujours* soumi (aka "Tu as l'obligation de fournir au gouvernement américain toutes les données qu'il demande sur tes clients, même si tes clients sont européens et même si les serveurs sont sur le sol européen."). Donc tu peux prétendre ce que tu veux, dans les faits rien n'a changé.

Donc remballes tes beaux discours, ainsi que ton IA dont personne ne veut et qui va nous bouffer de l'infrastructure et de l'énergie pour un perroquet débile.


EDIT: Puisqu'on parle des CASSOS, j'en profite pour vous redonner ce lien : https://hubertguillaud.wordpress.com/2022/03/22/le-numerique-arme-de-privatisation-massive/ (où on parle de la privatisation de l'informatique d'état).

Google copie Apple, et c'est une excellente idée : Tout téléphone sera automatiquement rebooté après 72 heures d'inactivité. C'est pour rendre l'extraction des données plus difficiles.
En effet Android possède plusieurs couches de chiffrement, et quand le téléphone est démarré (et que vous avez tapé votre code), une partie de ces couches est déjà levée, ce qui facilite l'extraction des données. (Donc si vous pensez que votre téléphone va être saisi : éteignez-le.)
Cette mise à jour va être déployée progressivement via les services GooglePlay.

Edit : article en français : https://next.ink/brief_article/les-smartphones-android-aussi-redemarrent-automatiquement-apres-trois-jours/

Et pendant ce temps là, en France...  REVOILÀ LA SOUS-PRÉFÈTE.

Quelqu'un a réussi à contourner le chiffrement BitLocker en exploitant PXE.
PXE est - de manière générale - un risque de sécurité. À moins d'en avoir besoin, pensez à le désactiver dans votre BIOS/EFI.
(PXE permet à un ordinateur de booter directement sur le réseau, le système d'exploitation étant fourni par un serveur. Cela permet de démarrer des ordinateurs ne possédant même pas de disque dur/SSD).

Contexte : Les ordinateurs quantiques ne sont pas encore assez puissants, mais on envisage dans un avenir plus ou moins lointain qu'ils le soient suffisamment pour casser les protocoles de chiffrement actuel. Le NIST (un organisme américain) a donc travaillé sur des algorithmes résistants à ces attaques (on les appelle "algorithmes post-quantiques").
Signal, l'application de messagerie chiffrée, s'y intéresse bien évidemment. Mais plutôt que de remplacer leur algo actuel (ECC) par ces nouveaux algos post-quantiques, ils les ont combiné dans le protocole de Signal. Casser le chiffrement d'un message Signal va donc exiger de casser les *deux* algos en même temps (l'actuel ECC et le nouveau post-quantique).
Le nouveau protocol Signal, appelée PQXDH, remplace donc l'ancien X3DH. Il est déjà déployé dans Signal.

Wooohoo !  \o/
Alors ça c'est méga-classe: Borg 2.x (pas encore sorti) supportera les backend rclone:// !
Ça permettra donc de faire des backups plus seulement vers du ssh, mais directement vers n'importe quel cloud supporté par rclone.

Et comme borg fait du chiffrement, ça permettra de faire des backups sans problème vers n'importe quel cloud sans risque. (Mais du coup il ne faudra pas utiliser l'option repokey)

(Pour plus d'info sur ce merveilleux logiciel de backup : https://sebsauvage.net/wiki/doku.php?id=borgbackup)

"Les autorités russes craignent que Pavel Durov ne remette les clés de chiffrement au gouvernement français"
Ça y est vous comprenez bien à quel point le chiffrement et la confidentialité dans Telegram c'est complètement du flan ?
Telegram n'est pas une messagerie sécurisée. En termes de sécurisation, c'est au niveau de Facebook Messenger.

C'est beau : Ce ransomware chiffre le disque local avec le système de chiffrement de disque intégré à Windows (BitLocker), envoie la clé aux escrocs, puis efface la clé locale.

C'est curieux de voir comment l'extrême-droite (et Telegram) tapent sur Signal.
Sachant que :
1) Telegram a fait le choix de ne *pas* activer le chiffrement par défaut, contrairement à Signal.
2) Conséquence : 99% des échanges sur Telegram sont *écoutables*.
3) Telegram est d'origine Russe (même si visiblement hostiles au pouvoir en place).

Pourquoi VLC n'est plus mis à jour sur le PlayStore :
Quand un développeur créé une nouvelle version de son application, il la signe cryptographiquement avec sa clé privée afin que tous les utilisateurs puissent vérifier l'authenticité de la version.
Sauf que Google exige maintenant d'avoir une copie des clés et des mots de passe, afin de pouvoir signer eux-mêmes les exécutables au nom de VLC. Ce qui est bien sûr innaceptable.

Cette foutue manie des GAFAM de vouloir tous nos mots de passe, OTP et clés de chiffrement 😠

Du coup pour télécharger manuellement VLC, allez sur cette page : https://www.videolan.org/vlc/download-android.html
et cherchez le lien "APK package"

Sous le coude: Comment fonctionne le chiffrement sous Android.

Olvid est sans doute, techniquement, une excellente messagerie chiffrée. Mais rien à faire, y'a mon cerveau qui tire des sonnettes d'alarme. J'arrive pas à faire confiance au truc. Peut-être à tort, hein. Ça sent trop la startup franco-française promue par le gouvernement. Au point de suggérer que Signal n'est pas sécurisé 🤨
(ouais, je pense encore trop à CryptoAG, ou à l'affaire du 8 décembre, ou au fait que le gouvernement a toujours détesté les messageries non écoutables.)
Et là automagiquement le gouvernement la recommande, limite l'impose (quitte à répandre du FUD sur les autres). Ça sonne terriblement faux par rapport à tout ce que le gouvernement a pu faire *contre* le chiffrement depuis 20 ans.

(La ref pour Signal : https://www.numerama.com/tech/1576404-signal-accuse-la-france-de-dire-nimporte-quoi-sur-sa-messagerie-securisee.html)

EDIT: Points à noter : La partie serveur de Signal est à source ouverts, pas celle d'Olvid. Ce qui est plus inquiétant, ce sont les arguments d'Olvid pour ne pas ouvrir les sources de la partie serveur (https://www.olvid.io/faq/serveur-et-open-source/): « Ouvrir le code du serveur présente alors un risque important, car il donnerait à des personnes mal intentionnées tous les outils nécessaires pour cibler au mieux leurs attaques contre ces serveurs. »    mmmm 🤔
Quand à l'argument "100% français"... l'infra est chez AWS. Donc de ce côté là, pas mieux que Signal.

EDIT: 🤔 mmm...   « Un actionnaire luxembourgeois, des données chez Amazon… l’appli Olvid pas franchement made in France »
https://www.linforme.com/tech-telecom/article/un-actionnaire-luxembourgeois-des-donnees-chez-amazon-l-appli-olvid-est-elle-vraiment-made-in-france_1262.html

Toute forme de confidentialité devient suspecte par défaut. C'est pas beau, ça ? 😠

Sous le coude : Une manière de contourner le chiffrement de disque BitLocker... en allant directement se brancher sur les pattes de la puce TPM !

Un système de chiffrement des communications radio utilisé par les services de police et urgence du monde entier a une faille de sécurité (en plus de la backdoor incluse par le fabricant).
Et devinez quoi ? C'est un système à sources fermés.
(En crypto, je ne JAMAIS faire confiance à un système à sources fermés. Le secret doit résider dans la clé, pas dans l'algo.)

Je pense que cet outils fait juste un copie de cmd.exe en sethc.exe/Utilman.exe, l'astuce habituelle de renommage.
(voir https://sebsauvage.net/wiki/doku.php?id=linux-vrac#mdp-windows)

Ça marche très bien, à condition :
- de pouvoir booter sur USB.
- que l'OS n'utilise pas le chiffrement disque complet (BitLocker, LUKS).

Moralité : Pour réduire le risque de piratage de votre PC si quelqu'un y a physiquement accès :
- désactiver (dans le BIOS/EFI) le démarrage sur USB.
- tant que possible, activez le chiffrement disque.

Sous le coude.
Un dérivé de ZeroBin (https://sebsauvage.net/wiki/doku.php?id=php:zerobin), mais qui utilise IPFS.
Service accessible là https://hardbin.com

L'idée est intéressante car elle pousse encore plus loin l'idée de ZeroBin : avec Hardbin, les données ne sont même plus hébergées sur le serveur Hardbin lui-même, mais sur IPFS. Le serveur Hardbin ne possède même plus lui-même les données chiffrées.

- Comme dans ZeroBin l'utilisateur est le seul à avoir la clé de déchiffrement dans l'URL (dans la partie après l'ancre (#))
- Le serveur Hardbin sert l'application (et fait office de gateway IPFS pour aller chercher les données chiffrées).
- les données sont stockées de manière décentralisée dans IPFS.

Excellente idée !

L'article entier est un gigantesque facepalm.

Voilà on y est : Le fait d'utiliser des moyens techniques pour protéger votre vie privée (Signal, chiffrement de disque, etc.) est considéré à charge.
Parmis les éléments retenus à charge également : manuel d'installation de /e/OS, GrapheneOS, LineageOS, Jitsi, F-Droid...  de très dangereuses applications de terroriste, n'est-il pas ?

Et la pépite : « Au-delà du chiffrement des communications, ce sont aussi les connaissances en informatique qui sont incriminées dans cette affaire : elles sont systématiquement assimilées à un facteur de « dangerosité ».»
Hackers et geeks en tous genres, sachiez-le : Vous êtes DANGEREUX⋅SES.
Le juge a osé mentionné que l'un des accusé avait installé Linux avec chiffrement de disque LUKS.  Bouuu ça fait peur 👻 rendez-vous compte ! Installer Linux !

Attendez, ce n'est pas fini : « X ne se contentait pas d’utiliser ces applications [de protection de la vie privée], il apprenait à ses proches à le faire »  
EN PLUS IL ENSEIGNAIT AUX AUTRES À UTILISER DES APPLICATIONS QUI PROTÈGENT LA VIE PRIVÉE ! 😱

Honnêtement, j'ai pas réussi à terminer l'article tellement c'est à se taper la tête contre les murs.

Et donc en toute logique la DGSI considère que l'ANSSI est un repère de terroristes ?    https://www.ssi.gouv.fr/administration/bonnes-pratiques/

EDIT: Tribune : https://sebsauvage.net/links/?KxKiAw

Bon ben on va prendre le maquis numérique avec des outils Libres ?
Je ne pensais pas qu'on y arriverait avant de tomber en dictature, quand même.

Donc tant que Signal ne lâche pas l'affaire ça va encore, sinon direction DeltaChat, XMPP/Matrix et autres outils Libres. Et aussi l'auto-hébergement, bien sûr (on va monter nos propres serveurs Matrix/XMPP). Et sans doute du TOR par dessus pour éviter qu'ils bloquent des choses au niveau DNS.

PS: Je vous ai déjà dit à quel point j'apprécie l'application DeltaChat ?  Le chiffrement de bout en bout est automatique, ça marche sur Android, iPhone, Windows, Linux, etc.  C'est super sympa à utiliser, et ça utilise votre compte mail (donc pas besoin de se créer un compte sur un nouveau service).

J'ai commencé à mettre à jour la liste des résolveurs DNS publiques, en particulier avec chiffrement (DOH/DOT) avec quand c'est possible : S'ils filtrent ou non, la forme (entreprise,association...), la juridiction.
Il y a les principaux, et il faut que je termine d'épurer l'ancienne liste en bas de page.
(Et on m'en a fourni une grosse liste supplémentaire qu'il faut que j'ajoute)

Vous avez déjà une bonne liste, de quoi faire avec des serveurs DNS (généralement) plus rapide que ceux de votre fournisseur d'accès, non censurés, non espionnables et non manipulables.
Et donc aussi de quoi couper la publicité sans logiciels supplémentaire (utile pour les périphérique où vous ne pouvez rien installer).

Comme dit Laurent Chemla : « À lire aussi : une coalition internationale de cambrioleurs appelle le public à ne pas fermer sa porte en quittant le domicile. »

Il faudra que je regarde :
Le chiffrement de disque LUKS de Linux utilise une fonction de dérivation de clé. Mais si cela fait un moment que vous l'avez mis en place, il utilise peut-être une fonction de dérivation trop ancienne (pas résistante aux attaques récentes) ou encore avec pas assez d'étapes de dérivation, ce qui risque de la rendre plus facilement cassable.
L'article donne les commandes pour vérifier et mettre à jour les entêtes LUKS.

Sous le coude : un long article sur le chiffrement des données en base de données.

Microsoft a donc bloqué la possibilité de télécharger et installer Windows 10 et 11 pour tous les utilisateurs russes. Le plus sûr moyen de les pousser vers Linux.

Notez bien ceci: Le jour où il y aura un conflit - et je ne parle pas uniquement de conflit armé, mais par exemple conflit économique - Microsoft pourra très bien choisir d'obéir à son gouvernement et faire la même chose en France. Ça, ou bien l'un des multiples produits en ligne fournis par la boîte : Outlook, Office365, Teams, etc.
Et le jour où ça arrivera, pour certains ça va piquer fortement.
Croyez bien qu'ils n'hésiteront pas.
Je l'affirme, parce que pendant de longues années ils ont fourni à l'Europe une version d'Internet Explorer avec une crypto complètement affaibilie, afin que les européens aient un chiffrement faible. Les américains, eux, avec une version d'IE avec une crypto forte.