tag:linuxfr.org,2005:/tags/riot/publicLinuxFr.org : les contenus étiquetés avec « riot »2019-04-26T12:19:38+02:00/favicon.pngtag:linuxfr.org,2005:Diary/384732019-04-23T17:32:06+02:002019-04-26T12:19:15+02:00Première faille de sécurité dans TchapLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Tchap, l'application de messagerie instantanée du gouvernement, basée sur Riot, a souffert d'une grave faille de sécurité dès son lancement.</p>
<p>Le hacker <em>Robert Baptiste</em> Aussi connu sur twitter sous <em>Elliot Alderson</em>, a réussi à accéder aux salons privés de l’Élysée, en …une heure et quart.</p>
<p>Voici une traduction approximative du modus operandi employé par Robert. La page de blog originale est à la fin du journal.</p>
<p>L'application est disponible sur le google play store, mais il faut une adresse email @gouv.fr ou @elysee.fr pour y accéder.</p>
<p>Après décompilation de l'application, on peut voir la liste des salons:</p>
<p>La liste des salons est disponible dans l'application :</p>
<ul>
<li>matrix.agent.dev-durable.tchap.gouv.fr</li>
<li>matrix.agent.dinum.tchap.gouv.fr</li>
<li>matrix.agent.intradef.tchap.gouv.fr</li>
<li>matrix.agent.diplomatie.tchap.gouv.fr</li>
<li>etc…</li>
</ul>
<blockquote>
<p>I set id_server to matrix.agent.elysee.tchap.gouv.fr. For info, Elysée is the French presidential palace. As I choose this server I guessed I should have an @elysee.fr email address. So, in the requestToken request, I modified email to fs0c131y@<a href="mailto:protonmail.com@elysee.fr">protonmail.com@elysee.fr</a>. Hum, no validation email in my inbox…</p>
</blockquote>
<p>J'ai réglé la valeur de 'id_server' à "matrix.agent.elysee.tchap.gouv.fr". Pour info (sic), Élysée est le palace présidentiel. Comme j'ai choisi ce serveur, je suppose que je dois avoir une adresse email @elysee.fr. Dans la requête "requestToken", j'ai modifié l'email par fs0c131y@<a href="mailto:protonmail.com@elysee.fr">protonmail.com@elysee.fr</a>. Bon, pas d'email de validation dans ma boîte aux lettres…</p>
<blockquote>
<p>Wait, maybe it is waiting a known @elysee.fr email address. So I did a Google search “email @elysee.fr”</p>
</blockquote>
<p>Attendons, peut être qu'il faut une adresse réelle @elysee.fr. J'ai donc fait une recherche google "email @elysee.fr"</p>
<blockquote>
<p>So I did another try and in the requestToken request and I modified email to fs0c131y@protonmail.com@<a href="mailto:presidence@elysee.fr">presidence@elysee.fr</a>. Bingo! I received an email from Tchap, I was able to validate my account!</p>
</blockquote>
<p>J'ai donc essayé une nouvelle fois la requête "requestToken" et j'ai modifié l'email à "fs0c131y@protonmail.com@<a href="mailto:presidence@elysee.fr">presidence@elysee.fr</a>". Bingo! j'ai reçu un email de Tchap, j'ai été en mesure de confirmer mon compte.</p>
<blockquote>
<p>"I am logged as an Elysée employee, and I had access to the public rooms."</p>
</blockquote>
<p>Je suis connecté en tant qu'employé de l'élysée, et j'ai accès aux salons public.</p>
<blockquote>
<p>Funny thing: an employee of the Ministry of Agriculture created a “Yellow room” for “people who loves the yellow”.</p>
</blockquote>
<p>Fait amusant, un employé du ministère de l'agriculture a crée un "Salon jaune" pour "ceux qui aiment le jaune".</p>
<p><strong>Analyse des faits:</strong><br>
- 9:00: D@ebut de l'analyse<br>
- 10:15: Putain, je suis dedans<br>
- 10:35: J'ai donné quelque coups de fil pour contacter l'employé du gouvernement en charge de Tchap.<br>
- 11:19: J'ai donné les détails de la faille de sécurité à l'équipe en charge de Matrix.<br>
- 14:00 pm: Matrix a résolu la faille et publié une alerte sur Twitter <a href="https://twitter.com/matrixdotorg/status/1118859344790077441">https://twitter.com/matrixdotorg/status/1118859344790077441</a><br>
- 17:42: Appel avec les officiels du gouvernement<br>
- 19:48: Matrix publie une entrée de blog pour expliquer la faille en détail.</p>
<p><strong>Liens</strong><br>
- <a href="https://medium.com/@fs0c131y/tchap-the-super-not-secure-app-of-the-french-government-84b31517d144">Le blog de R.Baptise</a></p>
<div><a href="https://linuxfr.org/users/arodier/journaux/premiere-faille-de-securite-dans-tchap.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/117023/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/arodier/journaux/premiere-faille-de-securite-dans-tchap#comments">ouvrir dans le navigateur</a>
</p>
Andre Rodierhttps://linuxfr.org/nodes/117023/comments.atomtag:linuxfr.org,2005:Diary/379062018-04-24T03:35:44+02:002018-04-24T20:11:19+02:00L'État français adopte Matrix/RiotLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Ça m'étonne de n'en avoir encore rien lu ici alors que d'ordinaire, je ne suis pas celui qui suit les actualités de Matrix de si près.</p>
<p>D'après <a href="https://www.nextinpact.com/news/106467-a-decouverte-riot-outil-libre-derriere-future-messagerie-letat-francais.htm">les récentes informations relayées par NextInpact</a>, mais aussi un peu partout dans les médias, comme <a href="https://www.lemondeinformatique.fr/actualites/lire-jean-severin-lair-dinsic--nous-inventons-ensemble-le-metier-d-archiviste-numerique-71269.html">ici, dans le Monde Informatique</a>, l'État français compte se doter d'ici cet été de son propre système de messagerie instantanée.</p>
<p>Et ce service sera basé sur Matrix/Riot!</p>
<p>De ce que je comprends le choix s'est fait sur les critères suivants:</p>
<ul>
<li>indépendance vis-à-vis de toute entreprise, ça nécessite donc un système décentralisé</li>
<li>messagerie, voix et vidéo</li>
<li>apparemment multiplateforme, vu que j'ai cru voir passer (oui, ça c'est de l'info solide) des références au soutien du projet dans les activités Riot-Mobile</li>
<li>chiffrement bout-à-bout</li>
</ul><p>C'est évidemment un formidable coup de pub pour Matrix, Riot et New Vector, la société montée pour poursuivre le développement du projet.<br>
On ne peut que se féliciter de voir un système Libre et décentralisé réaliser une telle percée.</p>
<p>Et apparemment d'autres administrations seraient également intéressées: Pays-Bas et Canada, pour ne pas les nommer.<br>
Tout ça pourrait bien faire boule de neige.</p>
<p>Cela dit, ce succès m'inquiète légèrement aussi, en raison d'un grief que j'ai depuis presque le début contre le protocole lui-même: les salons et tout le trafic sont répliqués sur les serveurs de chaque participant, ce qui permettrait à un salon de survivre si le serveur qui l'a vu naître tombait, mais ce qui entraîne aussi des charges monstrueuses pour les serveurs légers dès qu'un salon devient trop fréquenté.</p>
<p>Conséquence: un "petit" serveur est de facto exclu des salons les plus populaires, et c'est assez pénible pour tous ceux qui sont auto-hébergés ou disposent d'un serveur personnel.</p>
<p>Cette situation pourrait s'améliorer grandement avec l'arrivée de Dendrite, le nouveau serveur écrit en Go qui remplacerait l'unique serveur de production actuel Synapse, écrit en Python.</p>
<p>À suivre!</p><div><a href="https://linuxfr.org/users/maclag/journaux/l-etat-francais-adopte-matrix-riot.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/114309/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/maclag/journaux/l-etat-francais-adopte-matrix-riot#comments">ouvrir dans le navigateur</a>
</p>
Maclaghttps://linuxfr.org/nodes/114309/comments.atomtag:linuxfr.org,2005:Diary/374562017-08-25T11:32:35+02:002017-08-25T11:32:35+02:00Quelques nouvelles du projet MatrixLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Matrix (dont j'avais fait une présentation <a href="https://testrtc.com/different-multiparty-video-conferencing/">ici</a>) vient d'intégrer les widgets, ce qui permet d'ajouter des fonctionnalités optionnelles interactives assez intéressantes dans les salons de discussions.</p>
<p>D'un point de vue utilisateur, le client Riot a intégré les changements et en fait une présentation ici :<br><a href="https://medium.com/@RiotChat/riot-im-web-0-12-7c4ea84b180a">https://medium.com/@RiotChat/riot-im-web-0-12-7c4ea84b180a</a></p>
<p>D'un point de vue architecture Matrix, ils présentent les widgets ici :<br><a href="https://matrix.org/blog/2017/08/23/introducing-matrix-widgets/">https://matrix.org/blog/2017/08/23/introducing-matrix-widgets/</a></p>
<p>En particulier, notons le widget Jitsi qui permet de faire de la vidéoconférence à plus de 2 personnes.<br>
Par exemple on peut maintenant dans un salon visualiser un graphe en temps réel, tout en écrivant en commun du code ou un document, tout en faisant de la videoconférence.</p>
<p>Cela vient tout juste d'être intégré, donc il reste des bogues bien entendu. Par exemple avec Jitsi la fonctionnalité de partage d'écran ne marche pas encore et on doit passer par l'instance Jitsi de Riot (sauf à créer un widget personnalité et copier-coller le lien vers sa propre instance Jitsi Meet).</p>
<p>Une nouvelle intéressante en lien avec le <a href="//linuxfr.org/users/jylog/journaux/un-telephone-oriente-securite-et-vie-privee-avec-du-libre-dedans">journal précédent sur le téléphone portable Librem</a> : Matrix devrait être <a href="https://matrix.org/blog/2017/08/24/the-librem-5-from-purism-a-matrix-native-smartphone/">au coeur de ce téléphone</a> !</p><div><a href="https://linuxfr.org/users/saintgermain/journaux/quelques-nouvelles-du-projet-matrix.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/112532/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/saintgermain/journaux/quelques-nouvelles-du-projet-matrix#comments">ouvrir dans le navigateur</a>
</p>
SaintGermainhttps://linuxfr.org/nodes/112532/comments.atomtag:linuxfr.org,2005:Diary/373952017-07-05T16:39:31+02:002017-08-05T00:31:39+02:00Au revoir Skype, bonjour Matrix et RiotLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Comme vous l’avez sans doute entendu, il n’est plus possible d’utiliser les vielles version de Skype (inférieures à 4.3) sous GNU/Linux depuis le 1<sup>er</sup> juillet 2017.</p>
<p>Comme je n’ai pas entendu beaucoup de bien des nouvelles versions (aussi bien sur <em>desktop</em> que sur mobile), je suis parti à la recherche d’alternatives.</p>
<p>Pour vous donner une idée, j’utilisais quasi‐exclusivement Skype pour dialoguer via la vidéo avec la famille et les amis. Ceux‐ci ne sont pas foncièrement attachés à Skype et on a déjà fait quelques essais par le passé avec Google Hangouts, Whatsapp, Facetime et autres.<br>
Cependant, Skype marchait très bien et il n’y avait pas vraiment de raison de basculer chez un concurrent (chez qui il y avait des limitations ou chez qui cela marchait moins bien).</p>
<p>Comme mon poste est sous Debian, je me suis intéressé aux solutions libres (ou presque libres).</p>
<p>Il y a plein de nouveaux logiciels sur le marché, sans doute à cause des possibilités offertes par WebRTC. Mais mon attention s’est vite portée sur <a href="https://jitsi.org/jitsi-meet/">Jitsi Meet</a>, <a href="https://wire.com">Wire</a> et <a href="https://matrix.org/">Matrix</a>/<a href="https://about.riot.im/">Riot</a>.</p>
<p>J’ai vite rencontré des problèmes avec Wire (ne marche pas du tout sous mon Firefox) et la qualité de l’image est pour l’instant artificiellement bridée (apparemment c’est plus orienté mobile). De plus, la libération du code source de la partie serveur n’est pas encore complète. Mais le logiciel semble prometteur.</p>
<p>J’ai ensuite testé Matrix/Riot (Matrix-Synapse pour la partie serveur et Riot pour la partie client) et j’avoue avoir été agréablement surpris car tout a marché du premier coup (installation du serveur facile, client sous iOS et Android fonctionnent sans problème particulier, fonctionne sous Firefox et Chrome et le client <em>Desktop</em> fonctionne aussi bien). L’interface me semble encore un peu confuse mais rien d’éliminatoire.<br>
Pour l’instant, le seul souci que j’ai eu c’est lorsque j’ai tenté une visioconférence à trois, cela a fortement ralenti et c’est très saccadé (mais il est indiqué que c’est encore très expérimental).</p>
<p>Sauf si quelqu’un me dit que Jitsi Meet est vraiment très supérieur, je crois que je vais m’arrêter à Matrix/Riot, car le projet semble vraiment très intéressant.</p>
<p>Et vous ? Vous avez aussi quitté Skype ? Et, si oui, pour quelle alternative ?</p><div><a href="https://linuxfr.org/users/saintgermain/journaux/au-revoir-skype-bonjour-matrix-et-riot.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/112235/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/saintgermain/journaux/au-revoir-skype-bonjour-matrix-et-riot#comments">ouvrir dans le navigateur</a>
</p>
SaintGermainhttps://linuxfr.org/nodes/112235/comments.atom