Reprise du message précédent :

 
Non.
 
Et j'ai tout lu. Toi aussi ?
 
C.f.:  

 
Donc messages flagés et meta-data. Ok.
 
C'est confirmé plus bas :
 

 
Perso pas de souci
 
Plus bas encore :
 

 
Meta-data encore une fois.
 
C'est pas idéal c'est clair, mais on ne parle pas du contenu des messages encore une fois.
 

Vous avez des vidéos ou article décrivant graphene ? Parce que le site est assez pauvre en exemple d'utilisation on va dire "in vivo" de l'ecosystème. Et même si je suis tenté je me demande à quoi ça ressemble en vrai en fait.

Plusieurs articles sur grapheneos sur ce site :
https://wonderfall.space/grapheneos-2021/

Merci

 
Ce à quoi je faisais référence sur le partage d'informations direct entre les 2 applis c'est le premier article, de 2016. On n'a pas de preuve que ça a été exploité, mais ça peut l'être.
 
Le second article parle bien des messages flaggés par des utilisateurs, c'est autre chose, mais ce que je veux dire c'est que Meta a techniquement la possibilité de le faire. Une fois en clair sur le terminal de l'utilisateur, si l'utilisateur appuie sur un bouton "ce message est offensant" (ou truc du genre, je ne sais pas comment c'est dans WA), hop le message part en clair chez Meta ou un partenaire pour analyse. Donc "techniquement" ils peuvent aussi faire pareil même si tu n'appuies pas sur un bouton spécifique. Et une fois de plus, je ne dis pas qu'ils le font, mais qu'ils peuvent le faire.
On pourrait très bien imaginer un flag quelconque dans ton profil utilisateur, si Meta (ou quelqu'un de dûment autorisé en faisant la demande auprès de Meta) disait "alors tout les comptes que je vous file vous mettez leur flag à 1, et ça remonte automatiquement leurs messages en clair vers vous puis vous nous les transmettez ensuite). Techniquement (j'insiste), c'est faisable.
On peut aussi imaginer de l'analyse locale dans l'appli, et si ça trouve certains mots clés (demandés par des publicitaires par ex), hop ça remonte l'info chez eux. Genre si dans les échanges tu écris ou reçoit "kendir bueno" hop Meta pourra aller vendre ton profil à un célèbre industriel du sucre aromatisé au chocolat... Même chose pour faire un echelon "like". L'app va chercher une liste de mots clés régulièrement sur un de ses serveurs, et la croise avec ce que tu écris ou reçois.
 
Bref, on n'a AUCUNE garantie de sécurité, et c'est bien là le problème. Une application qui fait du E2E sans avoir un client Open source n'apporte aucune sécurité, surtout quand elle est produite par l'une des plus grosses boîtes d'enfumage mondial, réputée pour faire absolument ce qu'elle veut et spécialisée dans les excuses du type "ah pardon on n'avait pas fait attention, on va essayer de faire mieux la prochaine fois" lorsqu'on la prend la main dans le sac.

 
+1 c'est une tuerie ce site !
 
J'aimerais que l'auteur poste ici !

Vrai que je suis dessus depuis tout à l'heure et c'est bien complet.  
Je vais peut être passer le pas si c'est aussi fluide que ça et qu'on a quand même pas mal d'applis "normales" utilisables.

D'après l'auteur de Extreme Privacy, le principal problème de Graphene c'est l'absence des sesvices de notification Google qui sont utilisés par par mal d'applis.
Le téléphone (hors voIP) et les SMS n'en ont pas besoin
Signal a son propre système
Mais quasiment tout le reste dépend de ça. Donc si tu t'en fous des notifications ça devrait le faire, sinon ça peut être compliqué.  
Genre des applis de voIP ou équivalent (visio), tu peux te retrouver à ne pas être averti quand quelqu'un t'appelle.

 
RAS chez moi depuis un moment.
 

 
C'est réglé ça
 

Raconte : ça passe comment ? Toutes les apps importantes ont développé leur propre système ?

En fait si tous les problèmes ont été réglé graphene c'est un android ultra durci mais avec un design similaire ou presque à un android normal ?

 
 
perso j'ai quitté tous les services de google
j'ai plus du tout leurs services sur mon lineageos .. ce qui m'exclu de pas mal d'applis, mais je fais avec
quant à mon second tel, sous postmarketos, j'en parle meme pas..

 
Les services google sont là mais sont dans un environnement avec des autorisations ultra limitée (sand-boxed).
Accès au strict nécessaire uniquement.
 

 
Oui.

Pas encore convaincu au final après pas mal de lecture. Le problème étant que je suis assez dépendant de google (leurs services fonctionnent quand même super bien...) au niveau du calendrier (partagé avec ma compagne), de gmail et de services comme citymapper.
Le changement me ferait pas mal perdre en connectivité et en praticité avec mes amis et famille.
Ou alors j'accepte d'être le casse-couille/paria.

Plus tous les petits autres trucs que l'on se rend pas compte en utilisant google.
 
Quelques chose qui m'a déstabilisé en passant de l'app youtube à newpipe : fini les vidéos en recommandations de certains centre d’intérêts basés sur les visionnages précédents.  
Il faut effectuer une recherche pertinente pour visionner de nouveaux contenus intéressant basé sur ses centres d’intérêts.
 
Par contre quelques chose d'appréciable : je n'ai pas les google-services  sur mon profil principal, donc j'ai beaucoup moins de notification, ça rend beaucoup moins accro et j'ai les yeux moins souvent rivés sur mon smartphone.
 
Quand tu installes graphenesOs pour la première fois, c'est très plaisant de voir qu'il n'y a aucune app inutile installée par défaut, le menu des applications est quasiment vide.

 
https://www.lepoint.fr/high-tech-in [...] 256_47.php
 

 
il oublie juste matrix/element, et xmpp (conversations.im)
 
pour les non abos, sachez qu'il est publié dans le point du 1er décembre  (no2626)

C'est super protonmail, oui. Je l'utilise, ainsi que Tutanota.
Mais c'est vraiment super si tout le monde l'utilise car le système d'encryptage ne fonctionne que d'utilisateur proton vers proton (idem pour tutanota) si je ne me trompe pas.
Donc cela tend vers un système unique pour être totalement sécurisé. N'est-ce pas contraire à "nos" ambitions de décentralisation ?

Un moindre mal me direz-vous, et à raison.

Cependant ce léger détail n'est jamais vraiment précisé dans la com de ces entreprises.

Alors oui, il y a l'option mot de passe. Mais pour le mail envoyé à Tatie Ginette ou autre contact pro, c'est très utopique. (j'ai essayé, c'est très mal perçu)

Edit :
D'ailleurs, de Proton vers Tutanota et vice-versa, ça donne quoi niveau sécurisation ??

Ça donne rien du tout car le mail arrive en clair chez l’un ou l’autre.
 
Reste l’échange en PGP mais réservé à des utilisateurs avertis, pas à Tata Ginette.

Ca a été ma plus grosse déception avec le développement de protonmail.
Ils avaient une occasion unique de faire basculer tous les échanges de mail  entre personnes en mettant en place des solutions pour faciliter la génération et l'échange de clé PGP et en fait ils ont juste enfermé leur solution derrière un joli modèle économique bien pratique pour eux.
 
Je ne crache pas sur eux, ils ont sû faire un très bel outil, avec des possibilités qui restent malgré tout assez larges (utilisation de ton propre nom de domaine, donc applicable en entreprise par ex), et un financement propre (freemium).
Mais lorsque le vent à commencé à gonfler leurs voiles, qu'ils se sont bien faits connaître, plutôt que de raffiner leurs petits détails de comptes payants et d'enfermer leurs utilisateurs, je me serai attendu à la phase 2 du projet : proposer un standard pour l'échange de clés.
Ils avaient la position et la force pour faire un truc open source, bien ficelé, facilement adaptable par les autres gros fournisseurs du marché (mailo, tuta, ...) pour que chaque compte créé chez un de ces fournisseurs ait une clé PGP, et que quand tu envoies un premier mail à quelqu'un, hop ça te popup bien en avant qu'il y a une clé en PJ et que tu peux l'ajouter à ton trousseau (en mode "comme pour les cookies, si tu ne sais pas trop tu fais accepter", il faut vraiment être pointu pour refuser)... et ensuite tous les échanges qui suivaient auraient été chiffrés.
 
Bref, ils avaient moyen de redéfinir un peu les règles. Même si après ça n'empêchait pas Google de lire en clair dans ton webmail si eux préfèrent garder les mails clairement lisibles dans leur coin (cf ce que je disais sur whatsapp).
On aurait pu au moins :
- s'assurer du chiffrement de bout en bout pour tout l'aspect transfert entre 2 entreprises, pour tout le monde.
- chiffrement réellement complet pour les entreprises qui jouent le jeu (client open source, clés privées en local, déchiffrement en local...)

Petit retour sur "phonetrack" que j'ai mis en place en complément avec nextcloud afin d'avoir une solution "retrouve mon mobile" totalement indépendante.
 
Il y a pas mal de réglages possibles sur la fréquence de mise à jour (soit en temps soit en distance entre les points). Il manque quelques paramètres qui pourraient être sympa (par exemple ne commencer à publier la position que si un lien bluetooth avec une smartwatch est rompu) mais le gros des paramètres est déjà pas mal.
Il y a aussi une option sympa : si on file l'accès à l'application à ses SMS (appli open source, on peut aller voir ce qui en est fait), elle peut écouter la réception de SMS et répondre en envoyant à l'émetteur la position du téléphone.
A priori cette option a l'air de marcher même si on n'a pas de nextcloud derrière. On doit donc pouvoir installer l'appli, juste configurer un mot clé (faut un truc un peu compliqué et pas courant pour éviter les faux positifs) et hop on a une solution toute simple :
- pas de tracking permanent
- si j'ai perdu mon mobile, j'envoie un SMS (depuis un autre téléphone) avec ce mot clé à mon mobile, et hop j'obtiens (par sms) la réponse de sa position exacte.
Il y a même des mots complémentaires qu'on peut ajouter au SMS pour faire sonner le téléphone ou lancer un tracking régulier...
 
Bref, plus aucune raison de passer par les solutions de google/samsung. Le seul truc qui me chagrine c'est le peu de mises à jour de l'appli.

proton n'a pas encore été "pressé" comme l'est presque toute offre commerciale, par la double gratuité puis essorage des utilisateurs.
proton n'a pas défini (le feront ils?) un facteur déterminant pour moi : le délai d'inactivité des comptes. 24 mois pour les gafamnt et autres yahoo. 6 mois pour les petits européens (laposte, gmx/cara, et d'autres sans doute). Pour proton cela semble sans limite spécifique ; pareil chez disroot (qui sont associatifs), et infomaniak en fait son fer de lance.
pour tutanota, c'est l'opposé : j'avais fait une adresse pour tester ; j'envisage un an apres de la faire resusciter :
"apres 6 mois d'inactivité, une boite est désactivée et il faut une offre premium pour la réactiver" ... donc éliminé.

pour ca que les gens préfèrent whapp&co : c'est chiffré de bout en bout et ca demande zéro effort ; n'oublions jamais que le pékin moyen a horreur de chercher, et de la complication.

proton vante un modèle de chiffrement automatique entre ses utilisateurs (via web ou appli) qui détermine via le nom de domaine s'il est utilisateur proton, et montre un certain ajout de sécurité (ou de chiffrement, j'en sais rien) avec son joli petit cadenas bleu. Josiane adore, cédric l'étudiant aussi. Ce qui se passe derrière? j'en sais rien : le contenu d'un mail peut se chiffrer avec pgp, mais a/ on m'a dit qu'il était faillible aujourd'h'ui b/ j'ai aucun moyen de vérifier si c'est le cas, ou si c'est une autre techno

ce que je sais, c'est que dans quelques années, maintenant que proton se développe à fond pour faire fructifier ses offres commerciales, yaura forcément un revers à un moment ou à un autre : la gratuité ne peut etre éternelle.

pour autant, proton a bien bénéficié d'autres européennes importantes à ses débuts, c'est d'ailleurs pour cela qu'ils abordent le logo sur leur site...

tiens j'ai un truc similaire :
simple sms remote (pour android), bien évidemment pas sur le play/aurora, mais sur le fdroid.
en envoyant un sms au tel volé (sous réserve qu'il ait a/ de la batterie b/ du réseau c/ qu'il ne soit pas éteint ni dé-simé ), tu peux en obtenir certains infos. Tres pratique quand on a deux tels, ou plus simplement qu'il ait disparu et qu'un proche figurait dans les contacts de confiance.

mais j'ai deux commentaires :
a/ les solutions google/samsung simplifient, accompagnent et rassurent à mort l'utilisateur, et ont l'avantage d'etre indépendants du no de tel (cad s'il a été remis à zéro, normalement ya un blocage google efficace pour le pékin moyen), notamment si la sim a été bougée (sous réserve qu'il n'y ait pas de code sur l'android)
b/ les flics ne se bougeront jamais pour un appareil, jamais. Sauf si c'est un iphone, pas loin de chez toi, et que tu sais précisément où il est, mais j'ai eu qu'un seul cas de ce genre ; le mot d'ordre c'est "rachetez, tout le monde y gagnera"... simplement utile pour les tels oubliés ou perdus...

J'ai laissé un compte protonmail gratuit sans y toucher pendant 4 ans, et je me suis reconnecté dessus il y a quelques jours, tout est toujours là.

Petit succès du jour, totalement inattendu : j'ai flashé mon point d'accès Ubiquiti sous OpenWRT !!!
C'était pas gagné (il faut flasher un vieux firmware pour commencer), j'ai eu un petit coup de chaud quand au reboot suivant je ne pouvais plus me connecter avec mon l/p en ssh au point d'accès), mais après un petit reset factory, hop c'est passé nikel.
Le tuto dans le 3e post : https://forum.openwrt.org/t/perform [...] d/104833/3 (il y a plein de versions en fonction de son point d'accès).
Ensuite on peut désactiver les trucs inutiles (serveur dhcp, firewall...) et ça roule.
Ca fait une VM de moins (outil de management) et un mouchard potentiel de moins.
Surtout dans l'avenir, ça ouvre un peu plus de possibilités pour l'ajout d'autres points d'accès (avec fast-roaming entre eux). Pas obligé de rester chez ubi.
 
Quand je vois comment ça traine chez ubi pour avoir du wifi 6 de qualité sans y laisser un rein... et qu'à côté tu as du xiaomi, huawei & co (+/- flashables openwrt selon les modèles) pour genre 30-50 euros, ça laisse rêveur sur la "marge" ubiquiti. Par contre hors de question d'avoir ce genre de point d'accès en mode non flashé chez moi !

 
Pourquoi ? Quel avantage ?
Tu gardes le roaming sans coupure entre les AP?

 
Avantage du flash de mon ubi ou des xiaomi ?
-> ubi : comme je disais plus haut : système open source, relativement agnostique du matériel, ... donc comme je me tâte à rajouter un second AP chez moi ça me laissera plus de liberté dans le choix du matos. J'aimerai bien attendre la dispo massive d'AP en wifi 6E, mais ça se traîne vraiment J'ai déjà optimisé à mort le positionnement et les fréquences de mon AP, mais j'ai un "point" pénible chez moi. Quand je sors mon téléphone du mode avion le matin (dans mon lit héhé), il ne trouve pas le wifi. Si je fais 2 mètres hop il choppe le wifi. Si je retourne au même endroit dans mon lit il reste connecté au wifi et avec un débit correct. J'ai tout essayé mais ça ne veut pas ! Comme j'ai un tout petit forfait data, lorsque le smartphone sort du mode avion, il commence par faire tous ses checks habituels genre mails & co en 4G. C'est pas grand chose, mais 30 jours par mois ça finit par s'additionner. (3615 mylife off). Bref j'aimerai bien un second AP pour mon étage.
-> xiaomi : par excellence c'est du "phone home" et profiling/pub & co à gogo. Filer l'accès open bar à mon réseau local à une boîte comme ça, même pas en rêve
 
Sinon, oui le fast-roaming est supporté par Open-WRT et c'est là toute la magie : entre AP de marques différentes !
Le mesh également !
J'ai pas mal aimé les vidéos de ce gars : https://www.youtube.com/@OneMarcFifty/videos C'est très "classique et posé" mais très clair.

Je pose ça là :
 
https://www.technologyreview.com/20 [...] a-privacy/
 

Ouais, l'étape 1 c'est en effet "on intègre ça uniquement dans des robots de tests clairement étiquetés"...et l'étape 2 c'est un détail au milieu d'un paragraphe des CGU que tu es obligé d'accepter en intégralité si tu veux utiliser le robot que tu viens d'acheter bien cher sans avoir la possibilité de lire ces CGU en amont.
 
Plus j'avance dans le bouquin Extreme Privacy, plus ça me confirme qu'on est vraiment niqués de partout partout partout. Et comme la large majorité des gens n'en a strictement rien à faire, ça ne va absolument pas changer.
 
(Certes le bouquin est focalisé sur les US mais bon...) quand tu vois que la moindre boîte qui te fait un contrôle technique de ta bagnole revend tes données (nom, immatriculation, kilométrage, lieu géographique...), pareil pour les péages, les concessionnaires, sans parler des bagnoles de plus en plus connectées, qui pompent le contenu de ton smartphone au premier appairage bluetooth (c'est pour pouvoir passer des appels qu'ils disent)...  
Et que dire des organismes "d'état" qui revendent eux aussi sans vergogne, et ça c'est clairement le cas en France, où tu crées une entreprise et hop tu reçois des pubs/fishing en rapport dans ta boîte aux lettres (vécu personnellement), il me semble que c'était pareil pour la carte grise de ma bagnole (d'occasion, achetée à un particulier)... mais ça peut aussi être l'assurance.
 
Tu ne peux plus avoir une app, un service, un achat, sans que l'idée principale derrière soit la motivation de générer un fichier client le plus ciblé possible pour le revendre et faire du pognon. J'arrive à un niveau de dégoût franchement très très élevé... et pourtant le gros de mon métier est en ligne, connecté h24, ...  
 
Toujours dans ce bouquin tu vois le niveau (et l'argent) qu'il faut désormais pour garder sa vie réellement privée, tu vois qu'au moindre faux pas, c'est niqué, ... et comme on vit rarement seul, ça veut dire que pour être réellement efficace il faut que tous les membres d'une famille appliquent les mêmes règles ultra strictes.
- Le smartphone Xiaomi de mamie, le connecter à mon wifi ? non désolé, même pas sur le réseau invité.
- T'envoyer un email, non désolé c'est pas possible, sauf si tu me files une adresse proton ou une clé PGP
- Recevoir un colis ou du courrier chez moi ? Non pas possible, c'est soit poste restante soit relai
- Désolé, non personne ne me prend en photo avec un smartphone, et si tu as un appareil dédié, merci de me signer un document comme quoi tu t'engages à ne pas utiliser google photos, iphoto ni jamais uploader cette photo sur quelque service en ligne qu'il soit
- Merci de ne pas ajouter ce numéro de mobile dans votre carnet d'adresse ou alors uniquement sous un pseudo
- ...  
Tu as vite fait de passer pour le relou de première.
 
Ce qui me désole (désolé je fais long) c'est que chaque action requiert un effort colossal et est probablement sans impact réel et en face on a juste petit à petit (en mode grenouille qu'on fait chauffer jusqu'à la faire crever) la mise en place d'un système de contrôle des masses absolument phénoménal.
Que ce soit via la publicité (la partie émergée de l'iceberg, qui fait sourire tout le monde et négliger le problème "on s'en fout que si je cherche des voitures je vois plus de publicités de voitures, la bonne affaire" ) ou surtout la manipulation (je te montre le contenu que je veux, par rapport à ce que j'ai comme infos sur toi pour obtenir le résultat que je veux de toi).
On l'a vu avec le brexit, ou certaines élections. Tu cibles bien, tu construis un message subtil ("allez voter" sans dire pour qui mais parce qu'on sait que l'électorat qui ne votait pas d'habitude est celui qui ira voter pour celui qui nous intéresse) et hop tu orientes un monde dans un sens ou dans l'autre.

 
pour protonmail évidemment, j'ai constaté la meme chose.
je parlais pas de protonmail mais de son "concurrent" : tutanota.
si tu peux laisser 6/12/24 mois ton adresse sans t'y connecter, et sans avoir à repasser par la caisse pour t'en resservir après cette inactivité, mets nous au jus
de mon coté,avec l'appli ca me disait que récupérer une période d'inactivité exige de passer par la case premium..
 
 
 
sinon j'ai vu cette vidéo :
https://www.dailymotion.com/embed/video/x8fxwsi
à partir d'01:03:46, un ancien agent du renseignement évoque deux notions étonnantes :
-pour pegasus, le logiciel espion exige au préalable un piratage du réseau opérateur ; est ce vrai?
-les whapp/telegram/signal sont hébergés sur des serveurs situés aux us (donc cloud act), est ce vrai?
 
n'oublions pas que le canada et le UK ont un temps eu accès aux clés de déchiffrement des serveurs de la messagerie BB.

Salut le topic, utilisez-vous un conteneur pour chiffrer vos données avant de les envoyer dans le cloud ? Pour celles et ceux qui y stockent des données ?
Je pensais utiliser Zed! préconisé par l'ANSSI pour créer un conteneur dans lequel je peux intégrer des documents administratifs ou autres (voire plusieurs conteneurs).
Est-ce une bonne idée ? Ou ça ne sert à rien ?
 
 

Avant j'utilisais cryptomator
C'était bien.

Edit: zed certifié en 2010, rien qu'à voir les capture d'écrans je partirais pas sur cette solution  

Les clés de chiffrement de proton et signal ne sont pas accessibles par le fournisseur de service.
 
Les seuls endroits où sont accessibles les clés sont les terminaux utilisateur.
 
Seules les metadonnees peuvent être récupérées seulement si une plainte est déposée et sur signal elles sont quasi inexistantes.

Merci !
"Avant" car plus besoin maintenant ?

C'est ça. J'ai un NAS avec une bonne connexion. Une bonne alternative au cloud ça reste le self host, chez soi ou en déporté avec un serveur chez un hebergeur style infomaniak.

Le NAS, plus jamais le concernant. Quand tu perds ta connexion pendant 2 semaines à cause d’un débranchement et que tu rames pour obtenir un rdv avec le technicien qui te met un plan… ton NAS tu le maudis.
 
Et je connais tellement de monde qui a eu une galère de connexion un beau jour…
 
VPS is the way to go.

Dédié ou VPS avec Nextcloud, ça marche bien.

Baaaaaah. Mais bon, moi mon nas me sert énormément en local. Stockage des films et séries pour kodi, photos, téléchargements, backups du pc, du téléphone, de mon serveur sbc, etc.
Je comprends ce que tu dis mais avec mon usage je ne pourrais pas être 100% vps.

Oui je parlais exclusivement d’auto héberger des services de type nextcloud et Bitwarden, des trucs dont on aurait du mal à se passer quand on n’est pas chez soi car aussi central chez soi qu’au bureau, en vacances etc.

J'avoue que j'ai eu une coupure de plusieurs jours avant Noël, ça m'a bien cassé les pieds de pas pouvoir rentrer mes dépenses dans mon instance firefly-iii.
Mais c'est le seul service qui m'est essentiel au quotidien.

Sans mon password vault je ne suis presque rien

Keepass ftw

Je sais pas si c'est passé,  mais il y a 3-4 ans, un collègue s'était foutu de moi quand je lui avait dit que je n'achèterai jamais d'aspirateur automatique avec scan et photo intégrés.

Vous avez vu le dernier scandale sur la question ?