tag:linuxfr.org,2005:/tags/vol/publicLinuxFr.org : les contenus étiquetés avec « vol »2024-02-18T20:08:16+01:00/favicon.pngtag:linuxfr.org,2005:Bookmark/79082024-02-07T22:26:40+01:002024-02-07T22:26:40+01:00Vol de données personnelles: la moitié des assurés sociaux concernée<a href="https://www.lefigaro.fr/conjoncture/vol-de-donnees-a-des-gestionnaires-du-tiers-payant-plus-de-33-millions-de-personnes-concernees-selon-la-cnil-20240207">https://www.lefigaro.fr/conjoncture/vol-de-donnees-a-des-gestionnaires-du-tiers-payant-plus-de-33-millions-de-personnes-concernees-selon-la-cnil-20240207</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/134844/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/luc-skywalker/liens/vol-de-donnees-personnelles-la-moitie-des-assures-sociaux-concernee#comments">ouvrir dans le navigateur</a>
</p>
Luc-Skywalkerhttps://linuxfr.org/nodes/134844/comments.atomtag:linuxfr.org,2005:Diary/410162024-01-04T20:25:54+01:002024-01-04T20:25:54+01:00J’ai tenté de libérer une habitation, mais l’ayant-droit nous a mis des bâtons dans les rouesLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Amis libristes bonsoir,</p>
<p>Tout à l’heure, j’ai essayé de mettre sous licence libre non-copyleft une habitation de type appartement. Malheureusement l’opération a failli tourner au désastre.</p>
<p>Au début, j’appréhendais la présence d’un mot de passe sur la porte non-dérobée. Il y en avait un effectivement, mais l’algorithme de chiffrement avait des failles connues que nous avons exploitées (avec un ami, libriste lui aussi) via une attaque brute force.</p>
<p>Ensuite, nous avons exploré les pièces dont le code source n’était pas commenté, mais tout à fait lisible. Nous avons donc parcouru son arborescence sans problème, sans rien trouver d’intéressant.</p>
<p>Arrivés à la pièce principale, la cuisine, nous nous sommes trouvés devant un frigo propriétaire. Le bootloader ne voulait pas se déverrouiller. Nous avons donc tenté un dump pour procéder un à débuggage via un désassembleur.</p>
<p>C’est là que l’ayant-droit s’est manifesté. Voyant son attitude très menaçante et extrêmement hostile à notre égard, nous avons décidé d’un commun accord avec mon confrère de quitter les lieux. Se faisant, nous avons entendu l’ayant-droit passer des coups de fil (sur son téléphone probablement à système propriétaire non verrouillé et utilisant certainement une boutique privative d’applications, mais bon vous savez ce que c’est avec les ayant-droits). Bref ces coups de fil semblaient concerner des procédures judiciaires pour violation de brevets matériels et logiciels avec menace de poursuites au pénal. Il semblerait que le frigo à debugger utilisait une méthode de sécurité par obfuscation pour potentiellement cacher des éléments à très haute valeur ajoutée via un algorithme de stéganographie tupperware.</p>
<p>Nous sommes un peu inquiets avec mon ami libriste, car en partant nous avons oublié de supprimer le cache et les cookies – le désassembleur était codé en Javascript et nécessitait le lancement via un navigateur ; sans parler de l’adresse IP. En plus on risque de remonter assez rapidement à nous à l’aide de la vidéosurveillance assistée par IA.</p>
<p>Bilan, les appartements sont des petites applications propriétaires, parfois en AaaS (Apartment As A Service) que l’on peut très difficilement mettre sous licence libre. Le verrouillage est quasi-total et il y a une réelle volonté de verrouillage à la fois de leurs éditeurs et de leurs clients.</p>
<p>En plus cette ayant-droit (dont la méchanceté est telle qu’elle a son propre RFC) s’est montrée particulièrement procédurière. Le seul point positif pour nous est que, pendant sa diatribe sur un réseau social très connu, cette langue de vipère a brièvement parlé évoqué EPUB, format de document ouvert.</p>
<p>Par contre vu le pedigree de cette vendue aux GAFAM qui refuse même d’utiliser unicode comme toute personne un minimum empathique, je parie que tous ses ebooks sont bourrés de DRM.</p>
<p>Non, franchement c’est une expérience que je ne recommande pas.</p>
<p>Bonne soirée, et vive le <s>Québec</s> Logiciel Libre</p>
<p>PS : Afin de protéger la vie privée des personnes impliquée, les noms ont été changés. Toute ressemblance avec des personnages réels est purement fortuite</p>
<p>PS 2 : le frigo puait le camembert, un morceau mal emballé, même pas AOC, périmé depuis le 12 octobre dernier. Nettoyez votre code, et vos frigos aussi !</p>
<div><a href="https://linuxfr.org/users/abbe_sayday/journaux/j-ai-tente-de-liberer-une-habitation-mais-l-ayant-droit-nous-a-mis-des-batons-dans-les-roues.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/134408/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/abbe_sayday/journaux/j-ai-tente-de-liberer-une-habitation-mais-l-ayant-droit-nous-a-mis-des-batons-dans-les-roues#comments">ouvrir dans le navigateur</a>
</p>
abbe_saydayhttps://linuxfr.org/nodes/134408/comments.atomtag:linuxfr.org,2005:Diary/410152024-01-04T19:10:01+01:002024-01-04T19:10:01+01:00J’ai fait fuir les voleurs (trop forte !?)Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Salut les gens et les autres,</p>
<p>(oui c’est complètement HS, je ne vais même pas faire semblant de trouver un moyen de moyenner de le coller dans un thème du site)</p>
<p>tout à l’heure en rentrant, j’ai trouvé la porte de l’appartement ouverte ! À peine avais-je mis les pieds dans l’appartement que deux types en sont sortis à toute vitesse, ils étaient dans la cuisine (je me demande bien pourquoi). Oserais-je avouer que ça m’a un peu fichu les boules, surtout l’idée qu’il y en ait d’autres en fait.</p>
<p>Brèfle, une fois rentrée, les voleurs partis. Mais franchement, quel manque de standing. J’ai eu affaire à des minables qui ont surtout mis du désordre dans, et même pas partout (manque de temps sans doute). Ils n’ont pas touché au matériel électronique par exemple (bon mon ordinateur ne vaut sans doute plus grand-chose, mais quand même). Ils ont ouvert la boite à fils à chaussettes et d’autres boites. Je ne sais pas si j’arriverais à me remettre d’avoir eu des voleurs aussi minables.</p>
<p>Plus sérieusement les gens à appeler dans l’ordre :</p>
<ul>
<li>gardien (il est sympa je vous le recommande),</li>
<li>maréchaussée, ils sont arrivés assez vite,</li>
<li>assurance, qui a été longue à répondre.</li>
</ul>
<p>Me voilà à attendre la relève, d’empreintes, et le serrurier en essayant de ne pas penser au prix que tout ça va me coûter.</p>
<p>Entre nous, j’aurais préféré vous parler d’epub par exemple.</p>
<p>Sinon bonne année les gens.</p>
<div><a href="https://linuxfr.org/users/ysabeau/journaux/j-ai-fait-fuir-les-voleurs-trop-forte.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/134407/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/ysabeau/journaux/j-ai-fait-fuir-les-voleurs-trop-forte#comments">ouvrir dans le navigateur</a>
</p>
Ysabeau 🧶 🧦https://linuxfr.org/nodes/134407/comments.atomtag:linuxfr.org,2005:Post/419062021-02-27T11:32:32+01:002021-02-27T11:32:32+01:00Réseauteur: Personne qui s'occupe d'un réseau résidentielle/commercial - <p>Je suis un gars de bonne volonté mais voilà 6 mois passé j'ai surpris un résident (ils sont 15 en tout) surfé sur d'étrange adresse ip. Je suis résident Canadien alors sans même savoir comment cela fonctionnait. Je me doutait si une adresse ip d'un Domaine d'un appareil est différente des autres appareil du réseau, anguille sous roche et par curiosité d'apprendre, j'ai enquêté du mieux de mes connaissances. <br>
Serveur Asiatique, européen, spyderbot , private server ,API SDK en veux tu en v'là des nouveaux terme que je ne comprends pas en entier. Trace route, DNS look up, mac look up, reverse DNS des outils que j'utilise mais le fruit m'est totalement inconnue alors je continu à planté et a me planté sur mes pseudo-hacker. <br>
J'ai appris que l'adresse MAC est unique a l'appareil alors je me concentre sur ce type d'adresse unique et universelle. Bati le réseau sur cette signature avec Un Mots de passe moyen (minuscule majuscule chiffre 8-crt) avec un filtre autoriser adresses mac inscrite. je viens d'apprendre que l'adresse MAc est changeable depuis 1 an et plus sur Android et avec iOS 14 depuis septembre 2020, voilà 6 mois alors je comprend que je serai toujours trois coup en arrière sur ceux qui me font tourné en rond alors si une personne ayant de très bonne connaissances informatique pour ramassé des preuves contre de potentiel hacker, je suis prêt a lui fournir tout ce que j'ai comme information pour qu'il puisse me renseigné sur comment parvenir à les retracé.<br><br>
La source de toute cette pathétique histoire est le réparateur de PC du village et le réseau internet étendu ouvert de la ville à ce que je peux comprendre. <br>
J'installe Linux mais j'ai pas de prof, un hyperlien ferait un hyper-bien pour de bon cours. </p>
<div><a href="https://linuxfr.org/forums/general-hors-sujets/posts/reseauteur-personne-qui-s-occupe-d-un-reseau-residentielle-commercial.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/123414/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/general-hors-sujets/posts/reseauteur-personne-qui-s-occupe-d-un-reseau-residentielle-commercial#comments">ouvrir dans le navigateur</a>
</p>
Deebillzs76https://linuxfr.org/nodes/123414/comments.atomtag:linuxfr.org,2005:Diary/381382018-10-02T01:28:42+02:002018-10-02T01:28:42+02:00Horodater un cambriolage avec des logsLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Aujourd'hui j'ai été cambriolé, durant la journée.</p>
<p>Or, durant la journée, depuis mon travail, j'ai toujours ceci qui tourne:<br>
<code><br>
ssh -tY machine1 ssh -Y machine2 claws-mail<br>
</code></p>
<p>machine1 est accessible publiquement en ssh grâce à du NAT derrière ma box. </p>
<p>machine2 a été volée, mais pas machine1. Du coup, je me dis que je dois pouvoir retrouver l'heure du crime dans les logs de machine1. Tel que je l'imagine, machine2 a été fermée pour être emportée (c'est un portable) ce qui l'a mise en veille: le ssh -Y machine2 se coupe, et donc dans la foulée le ssh -Y machine1 aussi.</p>
<p>Pour l'instant, j'ai trouvé ceci dans /var/log/auth.log:<br>
<code><br>
Oct 1 17:44:58 Lucinda-Durmanof sshd[21604]: Received disconnect from <ip> port 36456:11: disconnected by user<br>
Oct 1 17:44:58 Lucinda-Durmanof sshd[21604]: Disconnected from user alexis <ip> port 36456<br>
Oct 1 17:44:58 Lucinda-Durmanof sshd[21473]: pam_unix(sshd:session): session closed for user <user><br>
</code><br>
Puis-je en déduire l'heure du crime ? J'ignore s'il la déconnexion est immédiate ou bien s'il y a un timeout.</p>
<p>Auriez-vous d'autres idées de fichiers de logs à consulter ?</p>
<div><a href="https://linuxfr.org/users/aleklyon/journaux/horodater-un-cambriolage-avec-des-logs.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/115405/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/aleklyon/journaux/horodater-un-cambriolage-avec-des-logs#comments">ouvrir dans le navigateur</a>
</p>
Alek_Lyonhttps://linuxfr.org/nodes/115405/comments.atomtag:linuxfr.org,2005:Bookmark/1132018-05-10T06:30:25+02:002018-05-10T06:30:25+02:00Vol de clefs (ajouté par des «attaquants» ?) dans le module Pipy "ssh-decorator" 0.28 à 0.31<a href="https://securityaffairs.co/wordpress/72298/malware/ssh-decorator-backdoor.html">https://securityaffairs.co/wordpress/72298/malware/ssh-decorator-backdoor.html</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/114427/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/ptifeth/liens/vol-de-clefs-ajoute-par-des-attaquants-dans-le-module-pipy-ssh-decorator-0-28-a-0-31#comments">ouvrir dans le navigateur</a>
</p>
fethhttps://linuxfr.org/nodes/114427/comments.atomtag:linuxfr.org,2005:Diary/358542015-05-15T22:23:28+02:002015-05-15T22:23:28+02:00Histoire d'un vol de domaineLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Cher journal, </p>
<p>Aujourd'hui je souhaite te raconter l'histoire d'un vol de notre nom de domaine. Je maintiens depuis plus de 1 an le petit projet Guake (<a href="https://github.com/Guake/guake">https://github.com/Guake/guake</a>), le terminal à-la Quake pour le bureau Gnome. Je l'utilise constamment au travail, je dirais que c'est un de mes outils indispensable à ma productivité de développeur (l'autre étant SublimeText). Je viens d'ailleurs de sortir la version 0.7.0 (<a href="https://github.com/Guake/guake/releases">https://github.com/Guake/guake/releases</a>) et travaille sur certaines corrections.</p>
<p>Guake a subit un développement chaotique, avec plusieurs développeurs qui se sont passé le bébé pendant les différentes années. Le code principal est sur repo github, la transition a été facile. Je n'ai pas un temps énorme pour le maintenir, il y a encore beaucoup de travail à faire dessus. Bref, c'est un projet libre comme beaucoup d'autre, maintenu par un volontaire.</p>
<p>Pour le site internet c'est une autre paire de manche. L’hébergement avait été organisé avec l'un des anciens mainteneurs du projet, mais le domaine guake.org appartenait toujours à l'un des premiers développeurs avec qui nous avions très peu de contact. Le domaine a expiré cette année et je m'étais dit que j'en profiterais pour le récupérer. Mais les procédures de transfert ont régulièrement échoué, à cause de la période de blocage après expiration.</p>
<p>Vous connaissez l'histoire, c'est un petit projet, on a beaucoup de travail à coté et même une vie personnelle. Bref, j'ai laissé passé la deadline. Erreur.</p>
<p>Une personne, du nom de Jim Westergren, un suedois vivant en Afrique du sud (ou en bolivie, en fonction de ce que répond whois de guake.org ou de son site internet personnel), a enregistré le site internet et remis le site originel en ligne sans nous prévenir (récupéré depuis wayback machine). Sur le coup, j'ai été très surpris, plutot agréablement de cette sorte de participation au projet. Soit, une personne souhaite restaurer le site internet original de guake et prendre à sa charge le nom de domaine et l'hébergement.</p>
<p>Contacté, nous avons échangé avec cette personne pour savoir quels étaient ses buts et motivations, et cela m'a énormément refroidit. Cette personne est interessée. Voilà ce qu'elle me propose:</p>
<blockquote>
<p>I think the best option is that you buy the domain name from me. I can sell it to you for $400 USD via paypal. The value of the name is around $900.</p>
<p>Another option is that I can change the name servers of your choice and you can use the domain for free provided that you have the following line at the bottom of the home page: "Thanks to Jim of XXXX for getting back our domain".</p>
</blockquote>
<p>Bien, cela ressemble à une volonté de soit monétiser le domaine a un prix clairement supérieure à sa valeur intrinsèque. Soit placer des liens vers sont site internet pour faire remonter ses classements dans Google (?)</p>
<p>Cela va à l'opposé de ma conception du logiciel libre, où l'on donne plutôt que de forcément recherche à recevoir une compensation. J'imagine que le domaine a été victime d'une sorte de script ou de procedure, qui consiste en enregistrer les domaines de certains projets venant d'expirer. J'imagine également que si cette personne arrive a 'récupérer' (je dirais voler) 500 domaines, pour un budget de 6000-7000€ par an, il suffit que 15 domaines soient absolument indispensables pour la personne, le projet, ou l'entreprise concernée, pour que l'ancien propriétaire accepte de payer, pour rentabiliser l'investissement.</p>
<p>Ce n'est clairement pas le nombre de visite venant de guake.org qui m'importe (<a href="https://github.com/Guake/guake/graphs/traffic">https://github.com/Guake/guake/graphs/traffic</a> nous donne 208 visites depuis ce domaine), mais plutot que rien désormais n'empêche cette personne de placer un contenu accessible sur guake.org qui ne serait pas compatible avec l'esprit 100% open source du projet (au hasard, pub, porno, …). Pour l'instant, le contenu du site semble "clean".</p>
<p>Biensûr, j'ai contacté le registrar pour dénoncer ce que je qualifie de vol, mais j'ai très peu d'espoir, car Guake n'est pas une marque déposée, les procédures existent mais j'imagine surtout valable pour les grandes marques.</p>
<p>Allez, un petit autre morceau croustillant de son dernier email:</p>
<blockquote>
<p>There are more than 300 domains linking to this domain name. Within the hour I can sell this name for $900 or more but if someone would offer me $900 right now I would say no.<br>
I offer this for you for $400 because you need it in your project, I am just trying to be nice.</p>
</blockquote>
<p>L'email de cette odieuse personne est: info[arobase]todaysXXXXweb.com (retirer XXXX et remplacer [arobase] pour sa réel adresse, je n'ai aucune envie que ce message ne lui profite de quelconque manière). Si vous souhaitez lui envoyer un petit mot doux, ne vous privez surtout pas!</p><div><a href="https://linuxfr.org/users/gaetan_63/journaux/histoire-d-un-vol-de-domaine.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/105754/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/gaetan_63/journaux/histoire-d-un-vol-de-domaine#comments">ouvrir dans le navigateur</a>
</p>
Stibbhttps://linuxfr.org/nodes/105754/comments.atomtag:linuxfr.org,2005:Post/323952013-03-09T11:33:21+01:002013-08-23T16:18:52+02:00Désactiver une carte bancaire sans contact<p>Je viens de recevoir une nouvelle carte bancaire, et comme je le craignais, celle-ci est équipée d'un module de paiement sans contact. Ce système sans contact, c'est un truc de ouf malade, puisque ça permet :</p>
<ul>
<li>d'effectuer les opérations sans code à distance, typiquement la consultation des dernières transactions ;</li>
<li>d'effectuer de petits paiements (< 30 € avec ma banque) sans contact ni code !</li>
</ul><p>Du coup, ça implique automatiquement que, en me frôlant, disons dans le métro où on est souvent assez serrés, n'importe qui peut, équipé du matériel adéquat :</p>
<ul>
<li>charger la liste de mes dernières transactions ;</li>
<li>me débiter trente euros.</li>
</ul><p>Du coup, j'ai écrit à mon banquier pour lui demander une nouvelle carte sans cette horreur, mais je doute qu'il puisse accéder à ma demande. J'ai cherché des tutoriels de désactivation de module de paiement sans contact, mais tous ceux que j'ai trouvé s'appliquent à des cartes américaines, qui ont pour particularité de ne pas avoir de contacts pour les paiements classiques, et donc les propriétaires peuvent se permettre de détruire la puce principale. Ici, hors de question que je détruire la puce principale : comme elle est utilisée pour les paiements classiques, ça rendrait ma carte inutilisable, autant la détruire entièrement…</p>
<p>Vous n'auriez pas des indications pour désactiver un module de paiement sans contact et seulement ce module ? En coupant l'antenne par exemple…</p>
<p>Mise à jour : un internaute a publié <a href="http://franck78.ath.cx/reparer/index.html#cb">des instructions pour cela</a>.</p><div><a href="https://linuxfr.org/forums/general-hors-sujets/posts/desactiver-une-carte-bancaire-sans-contact.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/97642/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/general-hors-sujets/posts/desactiver-une-carte-bancaire-sans-contact#comments">ouvrir dans le navigateur</a>
</p>
🚲 Tanguy Ortolohttps://linuxfr.org/nodes/97642/comments.atomtag:linuxfr.org,2005:Diary/320442012-01-11T13:34:26+01:002012-01-11T13:34:26+01:00Vol de smartphone et données personnelles<p>Bonjour,</p>
<p>Je me suis fait voler mon smartphone. Jusque là, rien d'extraordinaire. J'ai naturellement bloqué la ligne et changé tous mes mots de passe, mais il semble que le voleur ait eu accès aux mails, soit parce qu'ils étaient stockés sur la carte SD, soit parce qu'il a réussi à accéder à la mémoire interne du téléphone. En effet, "quelqu'un" a tenté de remettre à zéro un de mes mots de passe, et j'ai reçu une demande de confirmation par mail.</p>
<p>Avec les ordinateurs, je suis parano et je chiffre les disques durs, mais je n'ai pas l'impression que l'on puisse faire ça avec Android, en dehors de quelques hacks nécessitant de rooter le téléphone, et qui n'ont pas l'air terriblement au point. D'où ma question: qu'utilisez-vous pour sécuriser vos données ? La seule solution est-elle de renoncer à utiliser les fonctionnalités d'un smartphone jusqu'à ce que ce genre de protections soient en place ?</p><div><a href="https://linuxfr.org/users/yusei/journaux/vol-de-smartphone-et-donn%C3%A9es-personnelles.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/88988/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/yusei/journaux/vol-de-smartphone-et-donn%C3%A9es-personnelles#comments">ouvrir dans le navigateur</a>
</p>
Yuseihttps://linuxfr.org/nodes/88988/comments.atom