'jour Nal (ah ces traditions…)
je viens d'essayer d'installer l'appli "Identité numérique La Poste" sur mon téléphone prétendument intelligent, et malheureusement je n'ai pas pu: il est "rooté" pour me passer des "services" Google vu que l'installation d'un AOSP dessus m'est impossible (ce Samsung A127/DSN est allergique à LineageOS).
Et vous, comment faisez-vous?
- j'attends la version open-source sur F-Droid? (vivement que les poules aient des dents)
- j'utilise un téléphone uniquement dédié à cela? (bouge pas de la maison, navigue pas, communique pas)
- ça marche sur un AOSP! (pas pu essayer)
- l'identité numérique c'est très surfait, j'utilise autre chose de bien plus mieux?
Bien à vous lire,
Journal FranceConnect+ et vous?
18
nov.
2022
# Réponse D
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 10.
Plus sérieusement, je n'utilise pas le téléphone pour ce genre de chose. C'est un outil bien trop peu pratique et sur à mon avis. Donc je passe par l'ordinateur, ce qui est beaucoup plus confortable.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Réponse D
Posté par Flyinva . Évalué à 3. Dernière modification le 18 novembre 2022 à 09:48.
Comment as-tu fait pour créer une identit numérique La Poste sans téléphone ? J'ai l'impression que c'est obligatoire dans la procédure de validation.
Sur un téléphone sous Lineage, j'ai installé l'application depuis aurora. Elle ne démarre pas car elle détecte qu'elle n'a pas été installée depuis le store google…
Si vous avez une solution, je veux bien essayer
[^] # Re: Réponse D
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 2.
Il n'y a pas que la Poste !
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Réponse D
Posté par Flyinva . Évalué à 2. Dernière modification le 18 novembre 2022 à 11:06.
Pour le compte formation :
[^] # Re: Réponse D
Posté par jadfa . Évalué à 2. Dernière modification le 18 novembre 2022 à 11:11.
Bah si, avec Franceconnect+ c'est la seule appli reconnue pour le CPF
[^] # Re: Réponse D
Posté par fearan . Évalué à 8.
Tu peux passer par courrier non affranchi…
J'avais trouvé l'info au fin fond du site au niveau de l'aide pour FC+
La meilleur solution c'est de passer par là; si on est nombreux, il penseront peut être que forcer une appli sur téléphone pour prouver son identité n'est pas la meilleur idée qui soit.
Le téléphone fini toujours en passoire en terme de sécurité; les constructeur arrêtent le support à un moment ou l'autre de la vie du téléphone (tous ne sont pas vertueux); et si on tombe sur une petite série; ça peut arriver moins d'un an après l'achat.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Réponse D
Posté par jadfa . Évalué à 1.
Tu peux développer STP? i.e. où as-tu vu une option courrier?
[^] # Re: Réponse D
Posté par fearan . Évalué à 8.
ici :
https://www.moncompteformation.gouv.fr/espace-public/je-ne-remplis-pas-les-conditions-pour-utiliser-franceconnect-0
C'est de la procédure lourde d'administration… mais c'est prévu.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Réponse D
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3.
À mon avis, ça vaut le coup de le faire :-)
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Réponse D
Posté par Glandos . Évalué à 2.
Ohoh, bien joué pour la procédure. C'est littéralement un non choix.
4 semaines d'attente, un courrier recommandé à recevoir, pour valider un achat.
[^] # Re: Réponse D
Posté par Philippe Makowski (site web personnel) . Évalué à 1.
Pourquoi dire "non choix" et pourquoi dire "4 semaines d'attente" ?
Moi je lis "Une fois votre identité vérifiée, vous recevrez par mail, sous un délai de 3 jours" si on ajoute le temps d'envoyer le courrier, recevoir le courrier en retour, cela peux se réduire à 1 semaine.
En tout cas, c'est possible de le faire, et pas de manière si complexe que cela, pour moi c'est plutôt le bon choix, c'est celui que je ferai si j'en ai besoin.
[^] # Re: Réponse D
Posté par Glandos . Évalué à 3.
Quatre semaines. Plus le temps d'envoi du recommandé, etc.
[^] # Re: Réponse D
Posté par Tarnyko (site web personnel) . Évalué à 5. Dernière modification le 18 novembre 2022 à 22:10.
Il y a un contournement potentiel :
# pm install -i com.android.vending $FILE.apk
Teste et dis-nous ?
# Lapin compris
Posté par gUI (Mastodon) . Évalué à 6.
En fait j'ai pas compris à quoi ça sert pour l'instant du moins. J'utilise FranceConnect avec grand bonheur pour tous les services d'État, et je n'ai pas compris dans quels cas cette Identité Numérique serait requise.
Une idée ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Lapin compris
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 7. Dernière modification le 18 novembre 2022 à 10:34.
Il y a quelques années, j'avais une identité numérique la Poste parce que ça a été l'un des premiers à proposer ça. Ensuite, ben pendant le "grand confinement", la Poste m'a demandé de passer confirmer mon identité (qui l'avait déjà été avant) au bureau de poste, j'ai laissé tomber et je passe par Ameli ou les impôts, sans appli, cela va de soi.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Lapin compris
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
C'est la version Plus de FranceConnect, plus sûre parce-que identité vérifiée et 2FA si j'ai bien compris. https://franceconnect.gouv.fr/france-connect-plus C'est utilisé par la formation continue.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Lapin compris
Posté par gUI (Mastodon) . Évalué à 3.
Ah oui en effet. Ceci dit, j'avais déjà un compte et je viens de m'y reconnecter simplement avec email + mot de passe.
Mais bon, on dirait que ça va être la nouvelle norme, il y aura bien un jour où l'ensemble des sites gouvernementaux passeront à FC+.
En y réfléchissant je me demande si c'est pas lié à la fraude massive qu'il y a eu sur ce CPF, j'ai même entendu dire que certains organismes t'inscrivaient de force à des formations plus ou moins bidon.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# quelle est la plus-value ?
Posté par mahikeulbody . Évalué à 7. Dernière modification le 18 novembre 2022 à 10:13.
Quelle est la plus-value de ce service ?
Si je comprends bien, il s'agit d'utiliser cette identité numérique comme moyen unique de se connecter via France Connect. Cependant, pourquoi créer un truc en plus quand il suffit d'utiliser un des identifiants qu'on a probablement déjà sur Ameli, les impôts, etc… ?
[^] # Re: quelle est la plus-value ?
Posté par jadfa . Évalué à 3.
Oui, il manque cette info dans mon journal: c'est pour se connecter à son Compte Personnel de Formation que Franceconnect a été incrémentée version "+"
[^] # Re: quelle est la plus-value ?
Posté par mahikeulbody . Évalué à 2.
Qu'a de plus le CPF qui nécessite une évolution de France Connect ? Ou bien est-ce le début d'une évolution plus générale qui impliquera une identité numérique "La Poste" pour l'accès à tous les services de l’État ?
[^] # Re: quelle est la plus-value ?
Posté par jadfa . Évalué à 4.
Pas tous les services, mais les plus sensibles
[^] # Re: quelle est la plus-value ?
Posté par stopspam . Évalué à 2. Dernière modification le 18 novembre 2022 à 14:09.
France-Connect : pas pour les entreprises
France Connect peine à décoller alors qu'il se voulait le fer de lance du mode connexion en France. Au début utilisé par les services publiques, il devait rapidement s'ouvrir au privé.
Foutaises : dans le détail, si tu n'as pas une bonne raison de l'utiliser le service (vérification d'identité NOM/PRENOM ou AGE) alors en tant qu'entreprise privé, tu vas te faire bouler gentiment.
Autrement-dit, France-Connect ne va pas remplacer l'identification Facebook/Google/Apple/Live… Encore une belle idée #cloud-souverain.
[^] # Re: quelle est la plus-value ?
Posté par Watchwolf . Évalué à 6.
Je crois que c'est parce qu'il y a des tas d'arnaques au compte personnel de formation. Des arnaqueurs appelle les personnes, soit-disant pour aider à informer du crédit sur le compte, demande aux personnes leurs identifiants et après vide les comptes.
Le 2FA permet de limiter cette possibilité car les arnaqueurs ne peuvent plus se re-connecter au compte ensuite.
# Masquer le root ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Je n'ai pas essayé ce logiciel précis, mais pour pas mal d'autres, en particulier ceux des banques, ainsi que Doctolib, j'utilise Magisk avec ses fonctionnalités de liste d'exclusion (des logiciels pour lesquels sudo est invisible, en gros) ainsi que Universal SafetyNet Fix.
Ce genre de montage peut sans doute aider ?
D'aucune pourront s'interroger sur la moralité de faire de genre de bidouilles pour faire tourner un logiciel qui refuse autrement de se lancer s'il détecte que l'utilisateur est administrateur sur son appareil. Deux éléments de réponse :
[^] # Re: Masquer le root ?
Posté par LoloB . Évalué à 1.
Ce n'est pas ce logiciel qui est troué (ou en tout cas ce n'est pas pour éviter des failles au niveau de ce logiciel au particulier).
C'est juste qu'on considère un OS rooté moins sûr. Ce n'est pas le fait que tu sois administrateur qui rends l'OS moins sûr c'est le fait qu'en le rootant il y a des fonctionnalités de sécurité qui sont contournées.
[^] # Re: Masquer le root ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Dans ce cas ça ne sert à rien. Un logiciel bien conçu ne devrait pas laisser sortir quoi que ce soit de compromettant, auquel l'utilisateur n'est pas déjà censé avoir accès, même en accédant à sa mémoire.
Ou, pour le dire autrement, un logiciel dont la sécurité dépend de la sécurité du terminal, c'est de la merde.
Sauf que téléphone rooté et téléphone dont je suis admin, c'est synonyme. Considérer un système rooté comme moins sûr, c'est considérer que le fait que j'en sois administrateur le rend moins sûr.
La seule chose qui est contournée en rootant, c'est le fait de ne pas être admin.
[^] # Re: Masquer le root ?
Posté par jadfa . Évalué à 4.
Merci Tanguy pour ta proposition: ça marche!
Maintenant, l'appli ne refuse plus de se lancer parce-que le téléphone est rooté!!!
Mais elle refuse parcequ'elle n'a pas été installée depuis le Google Play Store…
[^] # Re: Masquer le root ?
Posté par Denis BRAUSSEN . Évalué à 2.
Sur le forum de la e.foundation (smartphones Murena avec /e/OS) il y a quelqu'un qui a utilisé cette solution où "App Lounge" est l'application présente dans /e/OS qui remplace google store. Il se peut qu'en utilisant un autre store (par exemple Aurora Store) on arrive au même résultat. Personnellement je n'ai pas essayé car je n'utilise pas l'identité numérique de La Poste (trop pénible à mettre en œuvre, j'utilise France-Connect avec impots.gouv) mais ça vaut le coup d'essayer IMHO.
[^] # Re: Masquer le root ?
Posté par raphj . Évalué à 7. Dernière modification le 18 novembre 2022 à 13:10.
C'est justement les données auxquelles l'utilisateur a accès qu'on veut protéger ici (données bancaires). Si ton terminal est troué et que tu as installé une application malveillante / qu'une merde s'introduit dessus, il y a un risque qu'elle accède à tes données en utilisant le trou. (c-à-d en gagnant les droits root).
En tout cas c'est le point de vue, j'imagine. Et les banques doivent certainement suivre des règlementations pour s'assurer de la sécurité (au moins apparente / avec déni plausible) de leurs solutions informatiques.
Bon, c'est pas comme si Magisk n'avait pas une option pour demander la confirmation à l'utilisateur / l'utilisatrice lors d'une tentative d'accès à root avec un bel écran clair, mais bon.
Et bien sûr, tout le monde s'en tape des pilotes pleins de pouvoirs fermés dont le code est potentiellement éclaté au sol et plein de trous.
Perso c'était l'inverse quand j'avais un appareil Android : je le rootais, et je me protégeais contre ces applications bancaires dont je n'ai pas accès au code source en ne les installant pas. Je suis sûr qu'elles sont bourrées de Google Analytics et tout un tas d'autres merdes qui n'ont rien à faire sur un appareil que j'utilise quotidiennement.
[^] # Re: Masquer le root ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 8.
Quelle différence par rapport à l'utilisation du site Web de ma banque depuis mon PC ?
Quelle différence par rapport à l'utilisation du site Web de ma banque depuis mon PC ?
[^] # Re: Masquer le root ?
Posté par raphj . Évalué à 2.
Aucune, je suppose. D'ailleurs j'espère que ça ne donnera pas trop l'idée au banque de brider les fonctionnalités de leurs sites web.
C'est débile, on est bien d'accord.
[^] # Re: Masquer le root ?
Posté par claudex . Évalué à 3.
Pour ma banque, sur le site web, je dois avoir une authentification à deux facteurs avec un boîtier externe. Sur l'application, je n'en ai pas besoin une fois la première authentification validée.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Masquer le root ?
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 1.
C'est plus facile pour Pegasus et compagnie (:
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Masquer le root ?
Posté par claudex . Évalué à 3.
Pour l'application bancaire, je ne vois pas l'intérêt, les infos sont disponibles ailleurs.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Masquer le root ?
Posté par octane . Évalué à 4.
alors, en fait non.
Le système de permission fait qu'1 appli == 1 uid.
rooter un téléphone, ça veut dire qu'il existe un binaire "su" qui fait passer un uid quelconque à un uid root.
Dit autrement, une appli quelconque peut devenir root, et accède à toutes les autres applis du coup.
Maintenant, je suis dev d'une appli, Android me garantit que le schéma de sécurité empêche la fuite de données d'une appli à une autre. Grosso modo, tu installes 'grosseAppliPourrie.apk', bin elle pourra jamais interférer avec 'maJolieAppliBancaire.apk'. Du coup, le dev il est content, il fait attention à la sécurité des clients de son appli, il est heureux.
Sauf que si un binaire "su" permet à grosseAppliPourrie de défoncer maJolieAppliBancaire, ça plait pas au dev. Donc s'il détecte un téléphone rooté, l'appli maJolieAppliBancaire refuse de s'installer. Tout ça pour la sécu des gens.
Le fait que tu sois admin ou pas, c'est finalement très secondaire.
[^] # Re: Masquer le root ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Quelle différence par rapport à l'utilisation de deux sites Web sur un navigateur sur PC ?
[^] # Re: Masquer le root ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4. Dernière modification le 18 novembre 2022 à 16:49.
Ou l'utilisation d'un site web avec navigateur sous debogueur, disons ? Je mentionne un débogueur, parce que c'est justement un logiciel différent, qui a sans accès à la mémoire du navigateur justement.
[^] # Re: Masquer le root ?
Posté par octane . Évalué à 2.
le niveau de sécurité général.
La sécu d'un PC fixe est lamentable par rapport à la sécu d'un téléphone. c'est pour ça que les banques filent des apps smartphones et pas des applis lourdes sur PC.
[^] # Re: Masquer le root ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6. Dernière modification le 18 novembre 2022 à 17:18.
Sauf que les applis en question ont des fonctionnalités qui sont généralement un sous-ensemble de celles disponibles sur leur site Web, accessible sans restriction depuis n'importe quel navigateur.
Donc, pourquoi, pour fournir un service qu'ils fournissent très bien avec un simple site Web, mettent-ils des contrôles de sécurité supérieur lorsqu'ils s'agit d'un logiciel pour téléphone ?
[^] # Re: Masquer le root ?
Posté par octane . Évalué à 2.
parce qu’ils sont présents, quelle question!
Tu as un niveau supérieur de sécurité, autant l'utiliser, non? Genre tu as 2 API, une fiable, et une non fiable, laquelle utilises-tu?
[^] # Re: Masquer le root ?
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
J'utilise l'appli web on est d'accord.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Masquer le root ?
Posté par fearan . Évalué à 10. Dernière modification le 18 novembre 2022 à 18:11.
mon pc fixe est mis a jour régulièrement, et dans 5 ans ce sera encore le cas; je n'ai pas cette visibilité sur mon téléphone; mon précédent, j'en ai change justement parce que y avait pas moyen de le mettre a jour et quand j ai demande de déverrouiller le boot loader on m a dit que pour des raisons de sécurité c’était pas possible; sachant que la dernière mise a jour datait de plus d'un an…
donc la soit disant sécurité elle est surtout absente.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Masquer le root ?
Posté par devnewton 🍺 (site web personnel) . Évalué à 10. Dernière modification le 21 novembre 2022 à 10:36.
La sécu de ton tel Android pas à jour bourré d'applis privatrices et prédatrices est lamentable par rapport à la sécu de mon PC fixe sous Debian stable avec uniquement des logiciels libres de confiance.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Masquer le root ?
Posté par octane . Évalué à 0.
Il est pas forcément simple d'évaluer la sécurité d'un système. Je propose qu'on aille se renseigner sur le dark web (haha).
Non, sans rire, d'après vous, quelle est la valeur d'une vulnérabilité sur un de ces systèmes? Plus le système est moisi (ou vulnérable), plus le prix d'achat sera bas.
Ca tombe bien, il y a un site web qui propose d'acheter des failles. Et les prix sont surprenants: hxxps://zerodium[.]com/program.html (je veux pas leur faire de la pub)
Pour une élévation de privilèges sous linux : 50000$
Pour une exécution de code distante sous sendmail/postfix/exim: 200000$
dit autrement le kernel linux est moins bien codé que sendmail…
Allons un peu plus loin, quel est le prix d'achat d'une vulnérabilité sous android? 2millions 500000$
je remet le coût d'achat d'une faille sous linux: 50000$
Après, on peut discuter des heures comme quoi on utilise du LL et qu'on fait apt-get update && apt-get upgrade toutes les 25 minutes, le fait est que ça semble plus difficile de rooter un android qu'un linux. (Disclaimer: j'y connais rien).
[^] # Re: Masquer le root ?
Posté par mahikeulbody . Évalué à 3. Dernière modification le 21 novembre 2022 à 12:20.
Il y a certes un lien : plus le système est moisi, plus il y a de chances qu'il y ait de failles différentes en vente par différents vendeurs (ce qui induit une concurrence et donc un prix plus bas).
Mais toutes choses égales par ailleurs (i.e. la pression de la concurrence), le prix est aussi déterminé par ce que les acheteurs sont prêts à payer, pas uniquement par ce que ça a coûter. Peut-être que les acheteurs de failles Android sont prêts à mettre plus sur la table que pour une faille Linux.
[^] # Re: Masquer le root ?
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Y a aussi ce que la faille permet de faire. Si j'achète une faille Linux pour DDOS un concurrent ou une faille Sendmail pour transformer une machine mal administrée en zombie qui distribue des spams, je n'ai pas envie de le payer plus cher (ou le même prix) que si je peux avoir un genre de Pegasus sur certines cibles. Le prix tient compte aussi de la puissance de nuisance attendue (prix du fusil à pompe vs prix du bazooka en gros.)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Masquer le root ?
Posté par octane . Évalué à 2. Dernière modification le 21 novembre 2022 à 14:10.
Bah "RCE", ça veut dire "remote command execution", donc RCE un sendmail tu vas pouvoir lire tous les messages d'une organisation. Tu vas pas cramer 200000$ pour envoyer du spam …
Un router: 10000… Et un routeur voit passer tout ton trafic ce qui permet à un attaquant de faire plein de trucs intéressants.
Une faille pegasus, 2millions5, ok. Par contre, juste un contournement de kaslr sur smartphone -> 100000$. Et 100k, pour avoir … rien (kaslr quoi, même pas d'exec de code). Contournement de kaslr sur linux -> 0, ça n'est même pas dans la liste.
Bref, ceci pour dire que je suis tombé de haut et sur cette liste l'autre jour. Le noyau linux sécurisé tout ça, bin en fait quand on voit le prix d’achat des failles, ça fait réfléchir. Je pense que eux ont estimé le vrai coût d'une faille, et que plus c'est compliqué, plus ça vaut cher. (et je parle pas d'un DOS ou de spam, je parle d'une vraie faille de sécurité).
bref, on s'égare du sujet de Franceconnect+ :D
[^] # Re: Masquer le root ?
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Il y a le "aussi" qui est important dans ma phrase. :)
Le cœur de mon propos est que fixer un prix, surtout dans ce cas, prend plusieurs paramètres (dont : la facilité d'exploitation, l'âge et la disponibilité, la dangerosité, l'impact en nombre, l'impacte en autre résultats, etc.) L'exemple kaslr montre bien que ce n'est pas aussi trivial que juste la complexité. Quelqu'un pourrait lire la finesse du ciblage et non la complexité (le noyau c'est trop vague et random, un serveur de messagerie c'est déjà plus intéressant si tu peux cibler une entreprise donnée, un smartphone c'est encore plus intéressant si tu arrives à atteindre les téléphones de certaines personnes.)
Bien d'accord que c'est une parenthèse intéressante …qu'il faut se résoudre à fermer à un moment.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Masquer le root ?
Posté par Glandos . Évalué à 3.
Oui, ça paie mieux les failles sur les appareils personnels, justement parce qu'ils sont… personnels. Ciblés.
Avec une telle faille, les États peuvent faire dans la finesse. Une faille sous Linux, c'est sympa, mais t'as pas forcément tout, par rapport à la faille iOS qui permet de transformer le téléphone de tel ou tel dissident en espion de ses activités. Et ça, c'est plus cher.
[^] # Re: Masquer le root ?
Posté par fearan . Évalué à 6.
Tu compare ce qui n'est pas comparable. Une élévation de privilège sous entends qu'on a déjà un accès.
Une faille sur un serveur de mail est plus simple à exploiter;
Ajoute à cela le nombre de device que tu vas pouvoir toucher avec la faille, et le risque que l'attaque soit détecté ou non. Un serveur, surtout sensible c'est surveillé; un téléphone perso beaucoup moins.
effectivement t'y connais rien, t'as des applications pour ça ;)
https://toutandroid.fr/comment-rooter-votre-xiaomi-redmi-note-8t-2/
Et au vu du site la faille c'est 0€ selon ton critère c'est donc une plus grosse passoire ;)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Dans la réalité
Posté par Arthur Accroc . Évalué à 5.
Pour mon spyphone sous Android, < 1 €, l’électricité pour trouver la preuve de concept d’une vulnérabilité connue (pas corrigée avant novembre 2017, date de dernière mise à jour).
Ça fait déjà beaucoup plus cher que pour mon téléphone (tant que je maintiens bien mon Linux à jour, sinon ça revient au même).
Certes, mon téléphone n’est pas récent, mais s’il avait trois ans de moins, je ne serai pas plus avancé.
La super sécurité sous Android, ça implique de jeter les téléphones de plus de deux ou trois ans, ce n’est pas économique et surtout pas écologique.
Et encore, si on ne considère pas comme une atteinte à la sécurité la surveillance par Google.
D’un autre côté, mon ordinateur n’est pas neuf non plus, et je pourrais même avoir un Linux à jour sur un ordinateur bien plus vieux (Windows a aussi un temps de support nettement plus long que celui d’un téléphone Android).
Ça, parce que le PC suit des standards et que les spécifications de ses composants sont connues.
Je ne dis pas que la sécurité sous Android soit du foutage de gueule (je veux même bien reconnaître qu’elle est très étudiée). Je dis que l’écosystème Android lui-même est du foutage de gueule.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Masquer le root ?
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3.
Des applis que tu ne peux pas toujours supprimer, de surcroît.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
# Prérequis pour l'Identité Numérique
Posté par Glandos . Évalué à 8.
Attention, ça pique :
Un smartphone Jolla, ça va pas. Un OS libre, ça va pas non plus. Bref, pour La Poste, le pré-requis, c'est de s'enchaîner.
[^] # Re: Prérequis pour l'Identité Numérique
Posté par raphj . Évalué à 5. Dernière modification le 18 novembre 2022 à 13:12.
On ne parlera pas non plus de l'obligation de détenir un appareil avec un impact écologique tout pété. En plus de l'ordinateur en cours d'utilisation évidemment.
[^] # Re: Prérequis pour l'Identité Numérique
Posté par zurvan . Évalué à 8.
Il y a quelques années, ça aurait été avec "un pc avec Windows et Internet Explorer".
Le curseur de ce qui potentiellement hors-norme ou inacceptable vis à vis des libertés individuelles (liberté d'utiliser l'OS de son choix sur son pc, son téléphone etc) peut varier facilement au gré des développements technologiques, de la politique etc, aussi je crois que le plus simple pour ne pas avoir de déconvenue futures vis à vis de l' "identité numérique" institutionnelle, c'est de la refuser en bloc dès maintenant.
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: Prérequis pour l'Identité Numérique
Posté par fate . Évalué à 7.
Comme d'autre ici je trouve ça vraiment abusé cette manie croissante de tout faire transiter par son téléphone alors que ça fonctionnerait tout aussi bien sur PC et que rien n'empêche son fonctionnement sur PC.
En quoi rajouter une fonction 2FA nécessite de passer par une application ? Le pire étant que rien n'est proposé comme alternative. T'as pas de smartphone ou un pas compatible ? T'as pas le droit de faire des formations -_-"
# Aurora store
Posté par j (site web personnel) . Évalué à 2.
Et depuis Aurora store https://f-droid.org/fr/packages/com.aurora.store/ ?
[^] # Re: Aurora store
Posté par jadfa . Évalué à 1.
Oui c'est ce que j'ai fait mais l'appli détecte le rootage.
Je vais essayer la solution de Tanguy en le masquant via Magisk et je vous dis quoi.
[^] # Re: Aurora store
Posté par jadfa . Évalué à 3.
Donc, après ajout de l'appli dans la liste d'exclusion Magisk,voici quoi:
- l'appli se lance sans protester contre le rootage: victoire!
- l'appli s’arrête parce qu'elle n'a pas été installée depuis le Store…
[^] # Re: Aurora store
Posté par raphj . Évalué à 4.
Comment une appli sait qu'elle n'a pas été installée depuis Arora et pas par le Play Store?
Absence du service Google en question (l'appli essaie de joindre le Play Store du téléphone mais n'y arrive pas) ? Peut-être qu'en ayant microG ça peut marcher ?
[^] # Re: Aurora store
Posté par 42nodid . Évalué à 2.
C'est comme le dit raphj. Dans Aurora store, il est indiqué que cette appli a besoin des "Google Service Framework" (requires GSF) pour fonctionner.
Alors effectivement, faut essayer avec microG si tu peux sur ton téléphone intelligent… (sur le mien, pas possible)
# eh ben..
Posté par tkr (Mastodon) . Évalué à 4.
hello
je vais essayer de compiler chacune des citations auxuqlles je veux apporter une réponse :
opensource sur fdroid pour franceconnect, j'en doute fort ; quid des petits malins qui vont tout de suite récup' le code afin d'en faire une appli copiée collée mais qui consiste à récup' les identifiants des utilisateurs pour récupérer leur CPF? c'est la méthode idéale..
tu peux toujours avoir un tel android spécifique à cela oui, ca fait aucun mal
AOSP = lineageos si je comprends bien? mais pas tel androStock rooté?
en meme temps pourquoi un tel androstock rooté (donc unsafe) au lieu d'un lineageos safe (non rooté) mais ungafamnted?
ah ce samsug est allergique à lineage => revente, pour moi c'est soit lineageos (ou tierce non android -pmos, jolla..) soit 3310 amélioré (navigation web tout au mieux, càd andro4, qui fait 4G, mais le web marche pas -ssl trop ancien-), soit sinon c'est éjecté par échange ou revente. Pas de "googleStock" au quotidien.
pareil, je considère que les choses trop sensibles n'ont rien à faire sur l'appareil le plus sensible du quotidien (juste après les clés de voiture!)
un tel est trop facilement indisp :
perte de réseau, démarre plus, bug, virus…
plus de batterie, volé, perdu, oublié chez quelqu'un..
quant à l'identité numérique, il est tout à fait possible de l'initier en bureau de poste ; une grosse solution de paiement en france qui file des miles permet de passer par là pour ouvrir un compte, mais un smartphone compatible sera nécessaire par la suite => exclu pour moi, d'autant plus que ce "projet" va à l'encontre du "diviser pour mieux régner"
sachant que le plus sensible, excepté les gros sous du CPF qui attisent les rapias sans limites d'imagination, c'est ensuite les impots, dont certains se sont vu voler le RIB.. imaginez que FConnect se fasse pirater, vous imaginez la merde noire dans laquelle seront les gens?
je n'irai pas sur un complotisme de surveillance de masse, mais au meme titre que deux autres numéros identifient certainement une personne physique en france (en plus de l'adn par ex), c'est le numéro de CNI (qui peut changer dans certains cas) et le numéro d'INSEE (qui ne change normalement jamais). L'idée de franceconnect est d'avoir une sorte de récap' vue d'ensemble d'un francais moyen pour savoir ce vers quels services d'état il interragi. Je pense qu'il s'agit notamment de la dernière étape (cerise sur le gateau) utilisant le numérque pour te crééer un profil dans l'administration d'état en un clic/coup d'oeil afin de voir "où tu en es" au meme titre qu'un vendeur apple ou samsung (ou agent sncf) sait où tu en es avec eux, en termes de profil/conso/etc. Ca s'apparente à du flicage illégitime pour les gens honnetes et respectueux. Maintenant remontons en arrière vingt ans plus tot, quand frauder les assedics étaient un jeu d'enfant quand certains s'étaient inscrits sous plus d'une cinquantaine d'identités différentes aux assedics (ou rmi) et que les institutions d'état n'ont rien vu pendant plusieurs années, car au début des 2000, rien n'était interconnecté et c'était la porte grande ouverte à tous les abus et fraudes ficelées.
Je pense que cela a aussi joué.
pour faciliter (et aussi coté administration, pas que connexion)
pour les impots on m'a jamaisdemandé franceconnect
à noter qu'aucun service d'état ne m'impose le 2FA, sinon j'aurais supprimé mon compte : je supporte pas le 2FA (excepté une banque) du tout.
pour moi le fait d'etre administrateur directement via android le rend de facto moins sur. Cf scandale pegasus, si en plus le malware est sur un rooté…
rappelons que l'appli Cerberus permet d'incruster une application dans la partie recovery du tel (je crois) de manière à ne pas etre effacée par un factory reset (pour ca que l'appli est payante -à l'époque)… maintenant vu les différentes possibilités, j'aurais crainte à utiliser un tel rooté, clairement
personnellement j'ai davantage confiance entre les dév d'une communauté opensource qu'en les gafamnt, pour ca que j'envisage meme plus de fricoter avec google, ni les banques : suffit de leur répondre qu'on a pas de smartphone, et elles sont obligées de faire avec (soit par matrice de code, soit par 3D secure avec lien https simple utilisable sur ordi)
pas forcément pour les banques, mais toutes les applis sont un peu comme ca.. etre sur lineageos renforce ce sentiment d'espionnage des gafamnt.
le libre est quelque chose de très mal vu par les instances gouvernementales, sur les téléphones portables. Donc je fais à l'encontre de leurs souhaits. Et meme avec un andro ou un iphone, pour avoir testé à l'époque (ya deux ans) l'identité numérique la poste avec un SE2016 (pas si vieux), leur appli détectait pas l'APN (l'appli la poste)
je me demande si la personne qui se contente d'une tablette pour surfer, et qui n'a ni ordinateur, ni email, ni numéro de tel perso (ex les retraités?) ou d'appareil andro/ios (simplement un ordi) fait dans la vraie vie.
je vais voir pour le microG. mais depuis ma décision personnelle de virer les gafamnt de mes tels, jpeux t'assurer que l'appli qui l'exige est désinstallée dans la minute, manu militari, peu importe les conséquences. Il faut savoir exprimer un raz le bol également, et être en cohérence là dessus. Macron et ses deux iphones pegasusés sont d'un avis différent évidemment ;-)
# Calyx Os
Posté par jeje . Évalué à 1.
Je me permet de rédiger ce post, car je suis dans la même situation, impossible de lancer l'appli de la poste afin de valider l'indentité numérique, je suis sur un pixel 3a, avec une calyx os d'installé, pas de soucis avec les applis bancaires téléchargées depuis l'Aurora, mais celle de la poste détecte qu'elle ne vient pas du playstore, et ne se lance pas! quelle parade?
Je trouve quand même scandaleux de devoir passe par un compte Google afin de prouver mon identité!? super souverain…
[^] # Re: Calyx Os
Posté par mahikeulbody . Évalué à 2.
La Poste ne sera pas le seul acteur habilité à délivrer une identification numérique, d'autres vont suivre et on pourra donc choisir. Mais est-ce que ce sera différent ? Pas sûr. Il serait d'ailleurs intéressant de savoir si des problèmes comme celui de la vérification du playstore Google sont le résultat des exigences pour avoir l’habilitation ou s'il s'agit simplement de choix de La Poste.
[^] # Re: Calyx Os
Posté par tkr (Mastodon) . Évalué à 2.
je pense que ce sera la meme pour tout le monde :
au nom de la cybersécurité, tout d'un android doit se vérifier par ggle.
le géant californien a presque remporté ce combat.
je sais pas quels usages de l'identité numérique vous avez (CPF??), mais de mon coté il est hors de question que je souscrive à ceci, car cela exige une conformité 100% avec les exigences de GGLE, que je rejette aujourd'hui.
c'est presque au meme titre qu'1personne=1comptebancaire=1telportable obligatoire.
vont etre contents les pépés & mémés.. heureusement il reste contournements pour ces jolis irréductibles!
# CPF
Posté par jeje . Évalué à 4.
C'est exactement pour le CPF, je pense qu'il y a eu tellement d'arnaques, que du coup je ne peux plus m'y rendre avec FranceConnect, il oblige FranceConnect +.
J'ai fait toute la procédure, de validation de l'identité, mais je coince sur le lancement de l'appli…et effectivement, sur le descriptif de l'app dans les paramètres de celle ci, il est bien noté quelle à été installé depuis Aurora Store.
Bref j'ai essayer Applounge de /e/os, ben elle ne s'installe pas!!!
Du coup j'ai enregistré mon compte Google sur le tél pour faire un essai depuis le Playstore…ahah…application non compatible avec mon téléphone pixel 3a! La bonne blague…
Bilan : plus d'accès au CPF et un phone Googlelisé!!! y à plus qu'à réinstallé la Calyx et vite..
# LineageOS OK mais sécu zero ?
Posté par solsTiCe (site web personnel) . Évalué à 4.
J'ai fait la procédure de création de mon "identité numérique".
Sur LineageOS 18.1, pas de souci sur mon Moto G 5
Par contre, quand j'ai utilisé pour la 1ère fois la procédure (sur le site telépoints), j'ai halluciné:
- on me demande mon n° de tél.
- je recois une notif sur l'appli IDN de La poste.
- je valide.
Donc n'importe qui avec mon téléphone peut s'authentifier à ma place ??? Jamais un mot de passe demander (à part pour dévérouiller le tél. si il y a)
Je comprends pas pourquoi ça s'appelle + alors . C'est pas parce que La Poste a verifié ma C.I. que c'est plus sécurisé, je trouve ….
[^] # Re: LineageOS OK mais sécu zero ?
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
C'est + de tracasseries (dont l'utilité n'est pas démontré) pour se faire vérifier
C'est + de facilité pour les gens qui ont accès à ton tél
C'est + d'emmerdes potentielles quand tu changeras de numéro ou de tél
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.