Je vois l'historique des mots de passe sur bitwarden.com, l'appli iOs, et l'extension Firefox.
Je suis client payant, cette fonction n'est peut-être pas dispo pour les comptes gratuits ? Ou alors l'auteur du journal a mal regardé.
La question de fond reste pertinente, ceci dit, si Bitwarden ferme soudainement demain, comment avoir planifié la sauvegarde ? L'export manuel est simple, mais le stockage d'un tel export est plus compliqué (impression papier ?).
En effet la rentabilité n'est pas le seul critère. Chez moi je pense pouvoir caler un groupe extérieur plus courant et moins cher sur le balconnet. Mais comme chez toi, c'est mal isolé au niveau des murs et c'est la première chose qui sera mise en œuvre, en isolant par l'extérieur d'ici deux ans (et je pense en avoir pour environ 50 000€ hors aides). On devrait en profiter été comme hiver (l'isolation du toit de l'immeuble a démontré que c'est assez utile).
Merci pour ce retour, je me posais la question de remplacer la chaudière à gaz par une pompe à chaleur air/eau.
Le prix du gaz a beaucoup augmenté en début d'année, si tu refais ton calcul avec le tarif actuel, tu verras qu'en 2025 c'est plus que 150€/mois que tu économises.
En combien de mois penses-tu revenir à zéro quand au prix d'installation de la pompe à chaleur ?
qui lis sûrement l'URL avant de coller ton mot de passe
On peut faire des versions identiques de l'affichage, au pixel près, de deux URLs différentes. Il y a cet exemple avec apple.com, dans lequel le l était en fait un caractère cyrillique identique au l minuscule. Même en zoomant tu ne peux pas le voir. Il faut regarder l'URL non encodée. Au quotidien, on ne le fait pas trop.
Et donc pour ce genre de cas, le remplissage automatique est comme tu le dis un moyen très efficace de ne pas se tromper. Et même, je dois dire que j'ai pris l'habitude de passer par les liens stockés dans Bitwarden au lieu de taper les noms des sites. Ainsi, je me met en plus à l'abri d'une faute de frappe ou d'un moteur de recherche qui renvoie le mauvais site en premier.
En intermédiaire, tu as Regolith, qui est un mélange de Gnome et de i3 (pour Xorg) ou Sway (pour Wayland). C'est du tiling, mais avec le confort du DE.
Tu as aussi, dans Gnome, l'extension Tactile (petite démo en trois minutes) qui permet d'avoir le positionnement par le clavier des fenêtres, sans changer d'environnement pour autant.
Une réponse sur certains points abordés dans le journal : de mémoire, la DSP2 demande que l'authentification de l'utilisateur soit faite de telle manière qu'il soit conscient du montant et du bénéficiaire de l'opération qu'il réalise.
Sauf que ni la carte à codes unique, ni le boîtier lecteur de CB ne le permettent. Pour le boîtier qui fait des qr-codes, peut-être ?
En complément d'un HIDS (Snort, OSSec, Wazuh), un truc important est de déporter les logs, par exemple avec syslog ou journald, tu peux envoyer les logs à une autre machine.
Car l'effacement des traces fait partie des phases d'attaque classiques, par exemple par la destruction des logs. Si les logs sont sur une autre machine, ils seront peut-être épargnés.
Des programmes comme fail2ban ont des règles en place pour beaucoup de services (ssh, proftpd, roundcube, postfix…), aussi. Ça peut te permettre de détecter et bloquer les attaques par force brute assez simplement. Il est relativement facile d'écrire de nouvelles règles fail2ban en s'inspirant de l'existant.
C'est simplement pragmatique comme réponse au risque, ça augmente le niveau de difficulté pour les voleurs sans pénaliser les autres. En plus, si les documents filigranés se retrouvent dans la nature, ça facilite la traçabilité.
Et ce n'est pas un projet de société :), c'est une mesure qui n'est pas exclusive à d'autres moyens, comme la sensibilisation et la législation.
Tu devrais lui dire que Whatsapp et les autres réseaux sociaux sont interdits aux moins de 13 ans et que la police va passer dans les classes, succès assuré à la récré ;).
Alors je n'ai rien prétendu d'aussi con :), j'ai parlé pour le cas général, pour lequel les données sont accessibles côté serveur. Dans le cas d'applications en E2EE (Signal, WhatsApp, mail avec GPG), on ne peut pas chercher côté serveur1.
C'était plus en opposition entre GMail et Proton, par exemple.
… le contenu des messages, mais on peut savoir qui parle à qui et quand avec les métadonnées :). ↩
Tu as tout à fait raison concernant ISO27001, c'est une certification qui atteste que tu suis un certain nombre de pratiques concernant la sécurité de l'information, ou au moins que tu t'en occupe. Aujourd'hui, il est très difficile de se prémunir de toutes les tentatives d'intrusion :(.
Le RGPD oblige les entreprises à annoncer les fuites aux personnes dont les données ont fuité, et rend juridiquement responsable les entreprises des fuites si les moyens de protection sont insuffisants. Gageons que ça aide à monter le niveau, petit à petit.
L'article de Zataz dit que les fichiers volés contiennent des données sensible. Du point de vue du RGPD, ce n'est pas le cas, les informations comme nom/prénom/adresse mail… n'en sont pas.
Je doute qu'à l'heure actuelle les données soient réellement chiffrées. Les serveurs ont très vraisemblablement des chiffrements au niveau des communications, et sur les support de stockages, mais les données en elle-même j'en doute. Si vous avez de sources sur le chiffrement des données en interne, ça m'intéresse.
Oui, les données sont chiffrées côté client chez certains prestataires comme Proton (ce qu'on appelle le zéro knowledge), mais pas chez Google, Meta ou autres, sinon la fonction de recherche dans les messages ne fonctionnerait tout simplement pas.
Sur le principe du nom, je suis d'accord. En pratique, il se trouve que j'ai un nom de domaine qui répond aux critères que tu donnes, et c'est un peu pénible (et source d'erreurs) de devoir dicter son adresse mail :-/.
Mais je retiens de ne pas en faire des caisses non plus, c'est pas non plus un tatouage :).
Les systèmes professionnels vont se différencier […]
J'ai un petit oscilloscope de poche pas cher et open hardware (DSO Nano v2), et sur certains montage, brancher la sonde modifie le comportement… Pas pratique pour deboguer :(. L'oscilloscope Tektronix de bureau n'a pas ce problème.
Peut-être que les versions suivantes du DSO sont plus fiables, et comparer un objet à 50€ avec un oscillo à plus de 1500€, c'est pas du jeu :).
L'article de Bleeping Computer sur le sujet est un résumé assez clair (pour qui lit l'anglais), et confirme que c'est juste un élément dans un exploit potentiel qui se ferait en combinant plusieurs trous de sécurité.
[^] # Re: Sur l'application Android j'ai bien l'historique avec vaultwarden
Posté par cg . En réponse au journal PSA: N'oubliez pas de faire des sauvegarde de Bitwarden !. Évalué à 4.
Je vois l'historique des mots de passe sur bitwarden.com, l'appli iOs, et l'extension Firefox.
Je suis client payant, cette fonction n'est peut-être pas dispo pour les comptes gratuits ? Ou alors l'auteur du journal a mal regardé.
La question de fond reste pertinente, ceci dit, si Bitwarden ferme soudainement demain, comment avoir planifié la sauvegarde ? L'export manuel est simple, mais le stockage d'un tel export est plus compliqué (impression papier ?).
[^] # Re: Retour sur investissement
Posté par cg . En réponse au journal [HS] Pompe à chaleur : point d’étape, un an après – et ensuite ?. Évalué à 4.
Merci pour les éclaircissements !
En effet la rentabilité n'est pas le seul critère. Chez moi je pense pouvoir caler un groupe extérieur plus courant et moins cher sur le balconnet. Mais comme chez toi, c'est mal isolé au niveau des murs et c'est la première chose qui sera mise en œuvre, en isolant par l'extérieur d'ici deux ans (et je pense en avoir pour environ 50 000€ hors aides). On devrait en profiter été comme hiver (l'isolation du toit de l'immeuble a démontré que c'est assez utile).
# Retour sur investissement
Posté par cg . En réponse au journal [HS] Pompe à chaleur : point d’étape, un an après – et ensuite ?. Évalué à 2.
Merci pour ce retour, je me posais la question de remplacer la chaudière à gaz par une pompe à chaleur air/eau.
Le prix du gaz a beaucoup augmenté en début d'année, si tu refais ton calcul avec le tarif actuel, tu verras qu'en 2025 c'est plus que 150€/mois que tu économises.
En combien de mois penses-tu revenir à zéro quand au prix d'installation de la pompe à chaleur ?
[^] # Re: extensions
Posté par cg . En réponse au journal Comment gérez-vous vos mots de passe (et l’autoremplissage des formulaires) ?. Évalué à 7.
On peut faire des versions identiques de l'affichage, au pixel près, de deux URLs différentes. Il y a cet exemple avec apple.com, dans lequel le
létait en fait un caractère cyrillique identique aulminuscule. Même en zoomant tu ne peux pas le voir. Il faut regarder l'URL non encodée. Au quotidien, on ne le fait pas trop.Et donc pour ce genre de cas, le remplissage automatique est comme tu le dis un moyen très efficace de ne pas se tromper. Et même, je dois dire que j'ai pris l'habitude de passer par les liens stockés dans Bitwarden au lieu de taper les noms des sites. Ainsi, je me met en plus à l'abri d'une faute de frappe ou d'un moteur de recherche qui renvoie le mauvais site en premier.
[^] # Re: Non aux pubs, mais oui aux pubs
Posté par cg . En réponse au lien Et si on interdisait la publicité ? // achetez Newton Adventure!. Évalué à 7.
L'article parle aussi d'interdire la propagande. In fine, d'interdire l'échange d'idées ? Ça commence où, ça termine où ?
Je comprend l'intention de l'article, mais la première étape n'est-elle pas de définir ce qu'est la publicité (bonne chance) ?
[^] # Re: un jour
Posté par cg . En réponse à la dépêche Hyprland, un compositeur Wayland « tiling ». Évalué à 6.
En intermédiaire, tu as Regolith, qui est un mélange de Gnome et de i3 (pour Xorg) ou Sway (pour Wayland). C'est du tiling, mais avec le confort du DE.
Tu as aussi, dans Gnome, l'extension Tactile (petite démo en trois minutes) qui permet d'avoir le positionnement par le clavier des fenêtres, sans changer d'environnement pour autant.
[^] # Re: Une partie de réponse
Posté par cg . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 5.
Sauf que ni la carte à codes unique, ni le boîtier lecteur de CB ne le permettent. Pour le boîtier qui fait des qr-codes, peut-être ?
Bref, ça ressemble tout de même fortement au syndrome de NIH.
Perso j'étais très content avec la carte papier à codes uniques au début des années 2000.
# Mettre les logs à l'abri
Posté par cg . En réponse au message Cyber attaque : des outils de surveillance ?. Évalué à 7.
En complément d'un HIDS (Snort, OSSec, Wazuh), un truc important est de déporter les logs, par exemple avec syslog ou journald, tu peux envoyer les logs à une autre machine.
Car l'effacement des traces fait partie des phases d'attaque classiques, par exemple par la destruction des logs. Si les logs sont sur une autre machine, ils seront peut-être épargnés.
Des programmes comme fail2ban ont des règles en place pour beaucoup de services (ssh, proftpd, roundcube, postfix…), aussi. Ça peut te permettre de détecter et bloquer les attaques par force brute assez simplement. Il est relativement facile d'écrire de nouvelles règles fail2ban en s'inspirant de l'existant.
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par cg . En réponse au journal Fuite de données massive chez Autosur. Évalué à 5.
C'est simplement pragmatique comme réponse au risque, ça augmente le niveau de difficulté pour les voleurs sans pénaliser les autres. En plus, si les documents filigranés se retrouvent dans la nature, ça facilite la traçabilité.
Et ce n'est pas un projet de société :), c'est une mesure qui n'est pas exclusive à d'autres moyens, comme la sensibilisation et la législation.
[^] # Re: Quel est l'âge de la pertinence ?
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 5.
Tu devrais lui dire que Whatsapp et les autres réseaux sociaux sont interdits aux moins de 13 ans et que la police va passer dans les classes, succès assuré à la récré ;).
[^] # Re: laisse ta fille gérer
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 3.
Alors je n'ai rien prétendu d'aussi con :), j'ai parlé pour le cas général, pour lequel les données sont accessibles côté serveur. Dans le cas d'applications en E2EE (Signal, WhatsApp, mail avec GPG), on ne peut pas chercher côté serveur1.
C'était plus en opposition entre GMail et Proton, par exemple.
… le contenu des messages, mais on peut savoir qui parle à qui et quand avec les métadonnées :). ↩
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par cg . En réponse au journal Fuite de données massive chez Autosur. Évalué à 3.
D'où l'intérêt de filigraner ses documents. Même si le filigrane est possible à enlever, cela peut inciter les pirates à passer au document d'après.
[^] # Re: Quel est l'âge de la pertinence ?
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 4.
En l'occurrence la grande a 13 ans. Ce doit être la dernière de sa classe à ne pas avoir de téléphone.
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par cg . En réponse au journal Fuite de données massive chez Autosur. Évalué à 6.
Ce site liste bon an mal an les fuites de données (Autosur y est): https://bonjourlafuite.eu.org/
Tu as tout à fait raison concernant ISO27001, c'est une certification qui atteste que tu suis un certain nombre de pratiques concernant la sécurité de l'information, ou au moins que tu t'en occupe. Aujourd'hui, il est très difficile de se prémunir de toutes les tentatives d'intrusion :(.
Le RGPD oblige les entreprises à annoncer les fuites aux personnes dont les données ont fuité, et rend juridiquement responsable les entreprises des fuites si les moyens de protection sont insuffisants. Gageons que ça aide à monter le niveau, petit à petit.
# Point terminologique pédant
Posté par cg . En réponse au journal Fuite de données massive chez Autosur. Évalué à 2.
L'article de Zataz dit que les fichiers volés contiennent des données sensible. Du point de vue du RGPD, ce n'est pas le cas, les informations comme nom/prénom/adresse mail… n'en sont pas.
[^] # Re: Le problème n'est pas GTK non plus
Posté par cg . En réponse au journal SVP arrêtez d'utiliser Python pour vos logiciels en GUI.. Évalué à 8.
Avec
dlopen(), tu peux avoir un programme qui compile mais plante de la même façon à l'exécution.Tu peux aussi compiler un programme, le faire fonctionner, mettre à jour la distrib, et hop ça ne fonctionne plus.
Avec de la compilation entièrement statique, tu n'as certes pas ce genre de problème, tu en as d'autres :).
# Conclusion
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 5.
Suite à vos conseils et retours, on a créé une adresse Free attachée à l'abonnement Internet, on verra bien comment ça se passe !
Merci et bon dimanche !
[^] # Re: laisse ta fille gérer
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 5.
Oui, les données sont chiffrées côté client chez certains prestataires comme Proton (ce qu'on appelle le zéro knowledge), mais pas chez Google, Meta ou autres, sinon la fonction de recherche dans les messages ne fonctionnerait tout simplement pas.
[^] # Re: laisse ta fille gérer
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 5.
Sur le principe du nom, je suis d'accord. En pratique, il se trouve que j'ai un nom de domaine qui répond aux critères que tu donnes, et c'est un peu pénible (et source d'erreurs) de devoir dicter son adresse mail :-/.
Mais je retiens de ne pas en faire des caisses non plus, c'est pas non plus un tatouage :).
[^] # Re: mon domaine
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 2.
Tu as raison, le
+fait partie du standard, mais est rejeté sur pas mal de sites. Le-est plus passe-partout.[^] # Re: retex
Posté par cg . En réponse au journal Un super Logic Analyzer DIY pour pas cher. Évalué à 2.
J'ai un petit oscilloscope de poche pas cher et open hardware (DSO Nano v2), et sur certains montage, brancher la sonde modifie le comportement… Pas pratique pour deboguer :(. L'oscilloscope Tektronix de bureau n'a pas ce problème.
Peut-être que les versions suivantes du DSO sont plus fiables, et comparer un objet à 50€ avec un oscillo à plus de 1500€, c'est pas du jeu :).
[^] # Re: Tant mieux et vivement l'inverse.
Posté par cg . En réponse au lien Stupeur dans les entreprises françaises après une lettre de l’ambassade américaine à Paris. Évalué à 2.
(est-il correct de traduire "malicious compliance" par grève du zèle ?)
[^] # Re: policies.json
Posté par cg . En réponse au message Automatisation Firefox. Évalué à 2.
Incroyable, j'étais persuadé que ce
policies.jsonn'était pris en compte que sur firefox-esr. Tout simplement excellent ![^] # Re: laisse ta fille gérer
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 2. Dernière modification le 29 mars 2025 à 19:46.
Ça me peinerai qu'elle se crée une adresse gmail, mais bon, elle n'est pas moi :).
Merci pour ton retour, je vais y réfléchir !
# Autre article
Posté par cg . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 2.
L'article de Bleeping Computer sur le sujet est un résumé assez clair (pour qui lit l'anglais), et confirme que c'est juste un élément dans un exploit potentiel qui se ferait en combinant plusieurs trous de sécurité.