Reprise du message précédent :

Une news toute fraiche :

Utilisateur de GrapheneOs depuis 6 mois maintenant, se passer de google n'est pas simple, mais on s'y fait.
Je garde toujours un profil utilisateur à part avec les play services pour faire fonctionner mes app bancaire.
Aussi un autre profil utilisateur pour Instagram.

J'ai encore une marge de progression pour sortir du monde des GAFAM.

Par curiosité, peux-tu me dire pourquoi le mécanisme de chiffrement est moins bien pour cryptomator par rapport à keepass ?

+1, j'utilise des clouds (assez peu souvent) hébergé en France et suisse (hubic et Etik.com) , avec cryptomator, mais seulement pour des fichiers non sensible. Pas de données personnelles sensible.
J'évite les factures, pièce d'identités, photos familles, etc...

Cryptomator va dériver une clé de chiffrement à partir de ton mot de passe et chiffrer tous tes fichiers avec. Le bénéfice de cela est d'être très rapide car la puissance de calcul nécessaire pour transformer ton mot de passe en clé de chiffrement est très faible.
En revanche l'inconvénient c'est qu'un attaquant peut générer très rapidement une table de toutes les clés de chiffrement pour les mots de passe les plus courants et tester chacune de ces clés sur ton fichier. Donc ici la sécurité repose à 100% sur la complexité du mot de passe. Pour info un PC actuel peut tester environ 5 à 10 milliards de mots de passe par seconde sur ce système de chiffrement.

Keepass par contre va obtenir la clé de chiffrement à partir de ton mot de passe en appliquant énormément d'itérations d'un algorithme assez lourd. Généralement cela prend 1s sur un PC commun. L'inconvénient c'est qu'à chaque fois que tu vas sauvegarder ou ouvrir ta base ça prendra 1s. Tu peux régler la complexité de génération comme tu le souhaites mais plus c'est long plus ce sera sécurisé. L'avantage c'est que pour qu'un attaquant trouve ta clé à partir des par exemple 14 millions de mots de passe les plus courants, il devra générer et essayer la clé de chacun de ces 14 millions de mots de passe et donc à chaque fois mettre 1s pour chaque clé. Il lui faudrait 162 jours contre une fraction de seconde sur Cryptomator. Evidemment s'il a une machine de guerre il pourra en générer en moins d'une seconde mais c'est toujours des millions si ce n'est des milliards de fois plus consommateur en puissance de calcul qu'avec Cryptomator. J'ai pris 14 millions d'essais dans cet exemple car il existe un fichier célèbre avec ces 14 millions de mots de passe courants. Mais si ton mot de passe n'y est pas c'est des milliards de milliards de milliards de combinaison que l'attaquant devra essayer.

Pour un mot de passe avec chiffres et lettres majuscules et minuscules, sans même envisager de caractères spéciaux, la formule est : 62 puissance (nombre de caractères). Donc pour un mot de passe de 10 caractères ça donne 839 299 365 868 340 224 de possibilités. S'il te faut ne serait-ce qu'un millième de seconde pour tester chaque possibilité, tu peux dormir sur tes 2 oreilles (ça fait 26 millénaires). Alors imagine avec des caractères spéciaux et quelques caractères supplémentaires sur Keepass. Sur Cryptomator en revanche, si tu divises ce nombre par 10 milliards d'essais par seconde tu obtiendras 971 jours. Bon ça c'est la durée pour couvrir toutes les combinaisons... l'attaquant trouvera la clé bien avant la dernière combinaison statistiquement parlant.

Cryptomator ne peut tout simplement pas se permettre de sécuriser autant car tu ne peux pas attendre 1s à chaque fois que tu veux accéder à une donnée, tu veux que l'expérience soit égale à l'expérience classique.
Sur Keepass en revanche les gens sont prêts à sacrifier 1s pour ouvrir la base de données puis accéder instantanément à son contenu par la suite jusqu'à fermeture du logiciel.

edit : je tiens à préciser que je ne suis pas du tout expert de Cryptomator et que je suis parti du principe de chiffrement le plus couramment employé sur ce type de logiciel. Je n'ai pas regardé précisément ce qui est appliqué par Cryptomator.

Si le mot de passe est le dernier à être testé. Sinon cela peut être également 10s...
Le chiffre donne une bonne idée de la difficulté à trouver le pot de masse, mais techniquement il est faux...
 
Edit : mais en fait tu dis la même chose un paragraphe plus loin.

merci pour le post, c'est intéressant

Perso je pars du principe que je préfère avoir tout sous Cryptomator qu'en clair, c'est toujours "mieux que rien"

J'ai pas la connaissance fine pour savoir si concrètement ça se "cracke" rapidement, mais si quelqu'un venait à jeter un oeil au contenu de mon ordi dans une myriade d'autres ordinateurs, il lâcherait sûrement l'affaire pour se tourner vers les autres ordinateurs aux données non chiffrées

On se rassure comme on peut ?

Non mais après Cryptomator ça se craque pas non plus facilement si votre mot de passe est fort hein

Et puis même si votre mot de passe est Papa2022, aucun GAFAM ne passe son temps à bruteforcer vos données pour pouvoir les lire. Dès lors que c'est chiffré, même à l'arrache, ça empêchera le service de lire vos données. Tout dépend de ce que contre quoi vous voulez vous protéger. Si c'est contre une action ciblée c'est différent, et là encore tout dépend de qui vous attaque.

 
Voilà. Si t'as blanchi 5 Md$ le FBI risque de dépenser du temps et de l'argent sur ton cas. Si c'est pour ton BRIP de Star Wars en 7.1 / 4k, c'est déjà moins sûr

Et pour un hackeur, le rapport temps vs coût est trop faible.

Le problème n'est pas le chiffrement à l'instant T mais les replicas d'il y a plusieurs années conservés dont vous avez 0 contrôle.

Si dans 5 ans les avancées techno ou des failles font qu'on peut déchiffrer en quelques secondes une sauvegarde de vos données qui a été répliquée à cette date, ils ne vont pas passer à côté.

Et on ne parle pas de hackers là. On parle de gouvernements, d'entreprises.
Les US ont tout intérêt à le faire, Google et cie aussi.

 
J'ai forcément pensé à vous vu l'auteur de la pub

Pas mal en effet.

Après il y a une réalité malgré tout. Dès que tu commences à vouloir analyser des données tu te retrouves vite avec 4-6 champs qui potentiellement suffisent pour retrouver 1 personne.
Genre par exemole tu bosses sur les données d'une app dédiée à une profession spécifique, tu as des infos de ville, de date... très vite tu peux retrouver la personne concernée.

pour les intéressés :
https://imgur.com/a/144T6V8
 

Mouais, Tehtris est une boite privée. Ça sent presque la pub détournée cet article.

+1
C'est hyper creux, on pourrait croire au gros fake limite gorafi

 
logique que c'est une boite privée.
forcément c'est une boite privée
boite privée =/= boite noire.
on est loin des activités dst ou de la caisse noire d'elf...
 
à partir d'un moment pour lutter contre gafam et batx si vous n'avez plus confiance en le privé faudra rester au lit : l'état n'aura pas les moyens pour un cloud souverain.
ca a été annoncé par macron, c'est remplacé par le clou de confiance. Pareil pour l'EPI, cf topic banque : il n'y aura pas d'équiv au visa ou mc francais pour concurrencer les US.
et tethis est des anciens de la dgse, du plutot haut de pointe.
 
si vous préférez, à coté ya ercom qui fournit le tel du président (en joint-venture avec ..samsung). Les teorem sont sur le banc de touche, trop peu pratiques.
et ya ça aussi :
https://www.leparisien.fr/internati [...] ERG7Z4.php

Les navigateurs DuckDuckGo laissent volontairement fuiter les données vers les trackers M*crosoft  
 
https://twitter.com/thezedwards/sta [...] 9027331072

Je cherche un espèce de tuto en français et pour le grand public, un genre d'introduction à la mise en place de solutions pour limiter la fuite de données.

j'aime bien https://thenewoil.org/ mais il faudrait la même chose en FR, en gros c'est pour filer le lien aux gens autour de moi quand on aborde le sujet.
Des recommandations ?

Pour des débutants hein, pas des trucs qui parlent d'installer des roms custom Android ou des failles du systeme Intel management machin chose.

Y a the hitch hiker guide to privacy  
Mais c'est un peu extrême.
 
Pour débutant et en Français le mieux c'est de chercher sur numérama je dirais ?
 
Sinon faut qu'on se lance dans une traduction participative sur le topic.
Toutes les sources sont en anglais c'est vrai...

Numérama ?  

Pour des grands débutants je conseille ce livre. Alors oui c'est pas un pdf mais ça fait le café pour avoir une vue d'ensemble sur les problématiques et possibles solutions si on veut s'intéresser un peu à la chose.  
https://www.babelio.com/livres/Nito [...] nce/907118

 
En français c'est mieux que rien pour un noob total  

De souvenir le contenu est en libre accès sur son site non ? Mais je ne le retrouve pas.

Édit : retrouvé, à priori ce sont ses billets de blog ayant mené au livre qui sont publiques :
https://www.standblog.org/blog/serie/flicage-brouillon

Ça m'a permis de relire le début et c'est exactement ce que je cherchais.

ca fait déterrage pour ce topic, mais :
https://linuxfr.org/users/tkr/journ [...] e-et-signe

est on foutu?

cas assez intéressant aussi (dommage, ya pas les rep's ):
https://pbs.twimg.com/media/FCiT_S_ [...] ame=medium
https://pbs.twimg.com/media/FCiUALU [...] ame=medium
https://pbs.twimg.com/media/FCiUA9l [...] me=900x900

Ca rappelle le cas Bluetouff tout ça.  
 
Et pour la première partie de ton message c'est pas encore foutu.  

https://www.nextinpact.com/lebrief/ [...] tuer-delit

Je me souviens qu'il existait une application qui effaçait le téléphone en cas de panique. Mais l'appli n'est plus trop à jour... C'est dommage, ça serait plutôt utile pour ce genre de cas.

Destruction de preuves, puni par la loi.

C'est aussi un peu ce qui m'embête sur les idées de compartementalisation (scrabble ) d'espace façon Truecrypt avec 2 codes séparés qui donnent accès à 2 espaces séparés pour faire du déni plausible.
Sur smartphone à ma connaissance ça n'existe pas, mais ça serait probablement "peu plausible", du genre un espace où ta dernière photo/sms/appel date d'il y a 3 ans par exemple. Surtout si on peut croiser ces données avec ce qu'un opérateur peut fournir, genre l'opérateur dit "X SMS envoyés/reçus aujourd'hui" et toi dans ton historique il n'y a rien.  
Tu pourras toujours dire que tu effaces au fur et à mesure, mais si jamais on arrive à prouver le contraire, on met en avant que tu as menti et là ça risque de mal se passer pour tes fesses !

 
justment, dans le lien du parisien c'est à priori la plus haute juridiction fr qui fait foi. Donc valide.
 
le truc con, c'est :
a/ il peut y avoir plusieurs codes différents :un de décryptage, un de déverrouillage d'écran, un pour chaque application (sur le mien, yen a trois )
b/ autant demander direct aux whapp et autres les informations, surtout si l'appli a été virée
c/ le droit au silence pourrait constituer un délit, si l'interrogé reste mutique

Yep, de la même façon que la meilleure économie d'énergie c'est celle qui n'est pas consommée, la meilleure façon de cacher une information c'est de ne pas la transmettre avec un vecteur laissant des traces.

Yep, c'est pour ça que le problème va être posé à la plus haute juridiction UE, et la France devra s'y plier.

 
Oui... mais on vire vite vers ce que justement on cherche à éviter quand on veut protéger la vie privée, à savoir "adapter/modérer/changer son comportement en anticipation de ce qui pourrait arriver si ce comportement venait à être exposé en dehors du cercle de la vie privée". C'est tout l'enjeu.
 
Je veux pouvoir continuer à dire du mal de qui je veux à ma femme via Signal ou autre sans que personne ne puisse un jour me ressortir ces mots.
Je veux pouvoir parler chez moi sans qu'un jour une demande judiciaire faite à Amazon puisse ressortir ce qu'Alexa (que je n'ai pas) a enregistré.
...
 
Il y a des éléments pour lesquels les traces sont évidentes, même sans être pointu en technique/informatique (tu sais que quand tu écris un mail il va être dans ta boite, celle du destinataire, et peut-être sur tout un tas de serveurs intermédiaires).
Pour d'autres choses c'est de plus en plus flou : une discussion téléphonique normale par exemple, aujourd'hui on n'a pas d'information légale claire sur son degré de respect de la vie privée, que ça soit le cadre légal aujourd'hui ou ce qui pourrait être modifié rétroactivement.
Est-ce enregistré/stocké, si oui combien de temps ? qui y a accès ? par quel processus (légal ou non), ...  
 
Bref pour revenir au sujet de départ, ça me semble important de pouvoir continuer à utiliser des outils respectueux de notre vie privée et qui seront (autant que possible) inviolables, car les lois peuvent évoluer, les gouvernements changer, notre entourage changer (hop l'ex-mari d'une copine qui devient militant ultra radical, tu deviens un centre d'intérêt juste parce que tu as son numéro dans ton tel ou l'inverse)...
 
Les applis, stockage cloud et compagnie sont déjà des passoires, mais si en plus l'objet smartphone en lui-même devient violable facilement dès que ta tronche ne revient pas à un flic, qu'il te colle une "suspicion de XYZ" pour justifier l'accès au contenu dans l'espoir de voir ta dernière partie de jambes en l'air à plusieurs ou de rajouter un contact discrétos rajouter une petite preuve incriminante... là ça peut devenir encore moins fun.
 
Le problème de filer ou non le code d'accès, c'est que c'est une barrière qui peut vite amener à faire sauter tout le reste : en effet si tu as une appli avec un code supplémentaire, on va te le demander aussi, dans 2 ans il va falloir filer ton email/pass icloud ou équivalent au passage. Et dans 10 ans globalement si on te soupçonne de quoi que ça soit faudra dire amen à chaque demande sous peine de finir en taule ou avec des accusations d'obstruction à la justice, destruction de preuves...

Là on est plus sur une compréhension et une connaissance du droit (et in fine de la confiance qu'on a dans nos gouvernements/services de renseignement et dans les services qu'on utilise) que dans des connaissances techniques.  
Mais je suis d'accord hein.  
Si j'ai envie d'envoyer mon kiki à ma femme j'ai pas envie que ça ressorte en place publique. Ca risquerait de faire des envieux.

Peut être... Mais quand tu vois qu'un mec qui dénonce le racisme de l'anthroposophie sur twitter est placé en garde à vue et qu'on lui demande les codes de son téléphone... https://twitter.com/GregoirePerra/s [...] 5467484164

Je défends rien du tout, je précise juste que tu auras tout autant d'ennuis à détruire ton téléphone plutôt que donner le code
 
Sur un kdbx je me demande à quel point on peut feindre de ne pas se souvenir du mot de passe maitre. Ouvrir mon kdbx à un inconnu et lui filer tout le contenu je pense que ça me gênerait encore plus que mon téléphone.

Avec cette petite journée de recul sur le sujet je pense que la bonne hygiène est tout simplement d'utiliser un navigateur en mode navigation privée (Firefox Focus par exemple), de mettre une rétention courte des messages sur ses apps de messagerie, et d'éviter tout simplement de garder pendant des lustres des photos intimes sur un smartphone.
 
Pour l'archivage des données sensibles, une instance invisible veracrypt doit faire le job.
 
J'admets que c'est se prendre vachement la tête pour potentiellement ne jamais avoir à filer son tel à un policier de sa vie.

 
Feindre la non connaissance d'un mot de passe est possible, car ça peut aussi être une réalité, mais à mon avis il faut justifier de capacités à le retrouver/recomposer.
 
Par exemple : "c'est un mot de passe dont je ne me souviens pas, que je ne cherche pas à mémoriser car il est très compliqué et je n'en ai pas besoin tous les jours, mais il est écrit sur un petit papier dans mon coffre fort. Si vous obtenez une perquisition de mon domicile, vous y aurez accès."
 
Pour certains sites par exemple je mets un mot de passe aléatoire, et soit je le mémorise dans keepass, donc je n'ai aucune idée de ce mot de passe, soit je ne le stocke même pas (hormis dans mon navigateur, lui-même protégé par un mot de passe que je connais) car au pire je ferais un reset par email.
 
Pour le déverrouillage d'un téléphone c'est un peu compliqué...

 
C’est aussi ce que j’ai en tête.  
La meilleure façon de cacher une info c’est de ne pas la transmettre via quelque chose qui laisse des traces.  
Et dans un monde de plus en plus connecté, et par la même occasion de plus en plus monitoré et surveillé, ça devient compliqué.

Make la poste et le cachet de cire grand encore.  

 
c'est exactement ce que condamnait l'informaticien militant sebsauvage (je crois que c'est lui) en se plaignant de la modération sur les plateformes en lignes, s'indignant de l'"automodération" dont il fallait faire preuve pour survivre à la modération..
 
moi je qualifierais ca plutot de "sélection naturelle", c'est chacun son pt de vue
 

à ce moment là autant avoir un second tel de secours prêt a etre dégainé
 

tu peux aussi dire que tu viens de changer de tel, ton ancien a pris l'eau et t'as décidé de reprendre celui ci hier
n'oublions pas qu'en moyenne les gens changent de tel tous les deux ans

si tu penses que la poste laisses passer sans vérifier..
pour le courrier "enveloppe" je dis pas (bien que ca dépend des destinataires), pour les colis, si provenance de l'étranger, c'est souvent fouillé par les douanes (et réemballé derriere)
 

Vous avez vu passer ça ?
 
La CNIL recommande aux supporter allant au Qatar de partir avec un tel vierge
 
https://www.politico.eu/article/qat [...] ch-agency/
 
Ça va être fun

Pas vu passer. Intéressant et triste à la fois.
 
DuckDuckGo veut bloquer les traqueurs de toutes les applications Android :
https://www.it-connect.fr/android-d [...] lications/
 
Il y a aussi le projet Exodus-Privacy qui permet d'analyser pour chaque application le nombre de traqueurs et de permissions :
https://reports.exodus-privacy.eu.org/fr/
 

Si ce sujet t'intéresse, il existe déjà des applications qu'il font ça. Regarde du côté de tracker control (je l'ai, efficace mais les applis nécessitent souvent un paramétrage initial), ou une autre application plus simple dont j'ai oublié le nom (mais dont on a déjà parlé ici).