🚲 Tanguy Ortolo a écrit 12191 commentaires

Il existe au moins trois solutions pour accéder avec un nom public à un service situé dans le même réseau local que toi. Deux compliquées :

• mettre en place un double NAT ;
• mettre en place des vues DNS.

Et une simple : faire de l'IPv6. Pas d'adresse IP privées, pas de NAT, pas de problème.

Sinon, dans le genre modes de paiement plus ou moins accessibles, il existe :

• le paiement par SMS surfacturé ;
• le paiement direct par carte bancaire qui sert ensuite de titre de transport.

Dans le premier cas, il faut un téléphone mobile. Dans le second, il faut une carte bancaire. Ça reste quand même vachement plus accessible que l'utilisation obligatoire d'un logiciel pour Android ou iOS.

Voiture, pas wagon. On n'est pas des bestiaux !

J'en fait l'expérience avec le train régional qui passe dans mon village. Aussi une compagnie privée comme les MBC/BAM, aussi sans distributeur à la gare. On est un hameau de moins de 100 âmes. Est-ce qu'un distributeur dans cette gare est justifié sachant que les utilisateurs du train ont des abonnements?

Je pense surtout que la question ne devrait pas se poser. Un guichetier, ça coûte cher, je veux bien l'entendre. Maintenir un emploi à plein temps dans la gare d'un village de 100 habitants est difficile à justifier financièrement parlant.

Mais maintenir un PC équipé d'une imprimante à rouleau, administrable à distance en cas de maintenance et remplaçable en cinq minutes en cas de panne sérieuse (ouvrir porte de la borne, débrancher PC, enlever PC, brancher nouveau PC, fermer porte de la borne : le plus long c'est le trajet de l'employé qui viendra faire ça, en train évidemment) ? Qu'on ne vienne pas me dire que c'est le genre de coût qui pèse significativement par rapport à, je ne sais pas, le prix du gazole ou du courant de traction du train.

s/lourd/natif/

Sérieusement, il faut arrêter de parler de client léger pour des sites Web : un site d'application Web propriétaire, ce n'est pas léger, c'est horriblement lourd au contraire. Un client léger, c'est un client natif.

Donc, la bonne terminologie, c'est client natif vs client Web. Léger ou lourd, c'est une caractéristique orthogonale à cette distinction.

Ce n'est pas ça du tout. L'argument porte sur la recevabilité de la preuve. Preuve non-recevable = poubelle, pas besoin de prétendre qu'on aurait dit autre chose.

Bien sûr, je comprends à peu près l'état du droit. Ce que je ne comprends pas, c'est la justification morale d'une telle règle. Un enregistrement effectué à l'insu de l'interlocuteur devrait à mon avis être recevable dans bien plus de cas qu'actuellement.

Note aussi que si tu enregistres une conversation privée (ce qui est bien le cas si tu déclenches l'enregistrement avant de savoir à qui tu parles), c'est toi qui commets un délit d'atteinte à la vie privée (même si l'enregistrement n'est jamais diffusé).

Personnellement, je ne démarre l'enregistrement que lorsque j'ai compris qu'il s'agit d'un démarcheur, donc pas d'atteinte à la vie privée. Ou lorsqu'il s'agit de quelqu'un qui me harcèle, auquel cas… il y a peut-être atteinte à la vie privée mais on s'en fout, il y a plus grave en face et ce sera recevable comme preuve.

Bien sûr, tu peux toujours compter sur le fait que personne ne le découvre jamais, mais c'est risqué, puisqu'en cas de perquisition (même pour une autre cause) les FDO peuvent tomber sur tes enregistrements.

Si on perquisitionne chez moi, un de mes premiers réflexes sera d'éteindre mon téléphone et mes ordinateurs. Systèmes de fichiers chiffrés, je ne crois pas que les forces de l'ordre françaises utilisent la technique de déchiffrement à la clef à molette, si ?

Je ne comprends pas comment tu peux maintenir ton argument. Si c'est un pro qui t'appelle ton enregistrement n'a aucune valeur juridique

Ça a de la valeur pour moi, à savoir pour noter tranquillement le nom de démarcheur et de son employeur. Et ça peut avoir de la valeur pour la DGCCRF, donc je garde l'enregistrement : si ça peut aider à faire tomber des nuisibles, même si c'est peu probable, c'est toujours ça.

Et ce n'est pas parce qu'un enregistrement n'est pas recevable en tant que preuve devant un tribunal qu'il n'a pas de valeur : il peut contenir des informations utile à une enquête, au cours de laquelle on peut trouver d'autres choses exploitables.

Imaginez une enquête contre un réseau de narcotrafic par exemple. Si un enregistrement effectué à l'insu de quelqu'un révèle l'adresse d'un trafiquant, même sans être utilisable comme preuve, ça vaut quand même de l'or pour les enquêteurs !

Encore plus pour le télétravail, tu ne voudrais pas quand même que ça soit ton numéro perso qui s'affiche chez les clients?

Certainement pas ! Le numéro de mon portable pro. Pas question que j'utilise une ligne pro pour ce genre d'appels, faudrait pas déconner non plus.

En plus, je ne suis pas certain que ça résolve réellement le problème. Tu pourrais avoir des numéros éphémères qui émettent les appels. Par exemple, les cartes SIM pré-payées sont faciles à acheter sans démarche, tu as un numéro en 06 que tu vas utiliser quelques jours, et tu passes à un autre.

Il y a des pays où, pour acheter une SIM pré-payée, il faut fournir un numéro de carte d'identité et de passeport. Ça marche très bien donc ça peut marcher n'importe où, en particulier en France. Si ce n'est pas le cas en France, ça peut le devenir, c'est très facile, il suffit aux députés de voter une loi.

Notez que dans des cas de harcèlement par exemple – qui n'ont rien à voir avec ce dont il est question ici – l'enregistrement effectué à l'insu de l'agresseur est de plus en plus considéré comme recevable devant un tribunal.

Concrètement, quelqu'un vous fait des avances insistantes dans un parking d'entreprise, jusqu'à commencer à vous peloter, sans enregistrement, vous pouvez toujours porter plainte, ce sera classé sans suite faute de preuve. Si en revanche vous avez un dictaphone que vous avez pensé à démarrer et que l'audio est assez fourni, vous avez peut-être une chance que le pervers soit éventuellement puni.

Je maintiens mon conseil de toujours enregistrer. Ça ne peut pas faire de mal. En revanche ça peut rendre de grands services. Par exemple, au moment de déposer un signalement à la DGCCRF ou à Bloctel : c'était quoi déjà, le nom de l'opérateur qui m'a appelé ? Facile, je repasse l'enregistrement. Au besoin, celui-ci pourrait même être fourni pour soutenir le signalement. Même sans être utilisable devant un tribunal, il reste plein d'informations potentiellement utiles.

Ensuite, pour servir de preuve juridique, effectivement, si l'interlocuteur n'est pas au courant, ça ne passe malheureusement pas, ce qui me semble une aberration de la justice française. À mon sens, les gens devraient être considérés comme responsables de ce qu'ils ont dit ou fait. Par ailleurs, prétendre devant un tribunal que, si on avait su qu'on était enregistré, on n'aurait pas dit telle ou telle chose est un assez haut niveau de mauvaise foi.

De base, je ne vois aucun raison légitime pour passer un appel depuis une ligne avec un numéro donné en affichant chez l'appelé un numéro différent.

Ça pourrait être interdit purement et simplement, la Terre continuerait de tourner. Quelques connards se plaindraient, mais c'est facile à gérer ça, il suffit de les laisser gueuler en regardant ailleurs.

Bonjour Monsieur le plombier, ici la répression des fraudes. Vous savez que votre numéro figure sur un prospectus frauduleux qui a été distribué à 3000 exemplaires dans la ville de Trifouillis-les-Oies ? Bien, très bien, alors dites-nous qui vous a proposé cette publicité illicite et nous ferons preuve de clémence.

Est-ce que ce ne serait pas plus simple si on calculait les amendes pour, de façon statistiques, couvrir au minimum les frais de lutte contre la fraude ? Avec une indexation automatique révisée chaque année par exemple.

Au fait, un des principes majeurs des entreprises, c'est qu'en cas de faillite les propriétaires ne sont pas personnellement responsables. Mais qu'en est-il en cas de fraude ? Je veux dire, si une entreprise qui mérite 200 k€ d'amende pour avoir fait un truc frauduleux sur ordre de son propriétaire fait faillite, est-ce qu'on endette bien le propriétaire à 200 k€ ou est-ce qu'il s'en tire sans rien ?

Contrôlé par le client et accepté par l'opérateur, qui est forcément complice de fait de toute usurpation de numéro.

Perso, mon répondeur ne prend pas de messages mais invite à laisser un SMS. Est-ce le genre de chose que tu ferais ?

(J'ai désactivé la messagerie parce que je trouvais très pénible d'aller la consulter, du coup je n'écoutais les messages qu'au bout de plusieurs jours, voire semaines. À ce compte-là, autant ne pas les accepter du tout, c'est plus honnête pour celui qui cherche à me joindre.)

Je n'ai pas compris grand chose à ton commentaire, où veux-tu en venir au juste ?

J'ai déjà vu des logiciels qui n'aimaient pas tourner sous LineageOS non rooté, mais qui passaient très bien une fois Magisk installé en les mettant en liste de refus de root.

J'adore l'ironie de cette situation : comme mon téléphone avait l'air pas assez sûr pour tel logiciel, je l'ai rooté et maintenant ça passe. :-D

N'importe quoi. L"utilisateur a besoin de se rappeler de quelque chose pour déverrouiller son téléphone au démarrage. Ce code (ou motif, qui est en fait transformé en code) sert à déchiffrer le système de fichiers de l'eMMC. Il pourrait être utilisé pour déchiffrer également celui de la SD.

Et c'est vraiment balkanisé, la preuve. Des systèmes de récupération comme TWRP sont incapables de déchiffrer les eMMC de certains téléphones parce que ces derniers utilisent je ne sais quel code propriétaire pour effectuer le chiffrement. Des trucs standard comme LUKS ou eCryptFS, ça doit être trop bien pour eux.

Si elle est chiffrée, tu peux faire une croix sur que contient ta carte SD aussi.

C'est vrai que c'est assez fascinant, la balkanisation du chiffrement de systèmes de fichiers sous Android. Merci Google.

Et alors, c'est mal, de descendre pour récupérer une livraison ?

Il n'est pas question de seulement pouvoir déverrouiller le chargeur de démarrage, ce qui est simplement un prérequis indispensable pour installer un OS de son choix.

Il est surtout question de pouvoir le re-verrouillée après installation. Ce qui implique aussi de pouvoir y injecter la clef publique correspondant à la clef secrète avec laquelle le noyau a été signé.

Ça fait aussi partie de mes critères de choix, mais pour une autre raison : quand le téléphone tombe en panne, on peut faire une croix sur son eMMC et tout ce qu'elle contient. La carte SD, on peut toujours la récupérer, même si le téléphone a fait une chute du troisième étage.

Attention, les Google Pixel on un inconvénient majeur : pas d'emplacement pour une carte SD.

Ça se fait depuis un OS démarré. Mais le point clef, c'est que le déverrouillage du chargeur de démarrage a une conséquence assez lourde : cela formate la partition de données.

<Sinon, je ne comprends pas trop l'importance d'un chargeur de démarrage verrouillé. Après tout, si le contenu du téléphone est chiffré (paramètre par défaut, non ?), le voleur ne peut pas avoir accès aux données ?

Pas directement. Mais il peut remplacer ton noyau, ou plutôt ton initrd – qui eux ne sont pas chiffrés – par un qui va faire un peu plus que celui que tu utilises habituellement. Par exemple, au moment de déchiffrer le système de fichiers, envoyer au passage la clef de déchiffrement à quelqu'un. Et dans un second temps, le même attaquant pourra cette fois-ci déchiffrer ton système de fichiers.

Ça, c'est une attaque en deux temps, mais ça peut se faire en une seule passe, dans la mesure où, quand on peut remplacer le noyau et l'initrd, on peut en fait faire plein de trucs invisibles une fois le système complètement démarré.

En fait, la possibilité de remplacer noyau et initrd permet des attaques très puissantes, et le chiffrement des systèmes de fichiers n'est pas un problème, puisqu'il suffit de demander à l'utilisateur de les déchiffrer, comme il a l'habitude de le faire à chaque démarrage.

Grand bien leur fasse, qu'est-ce que ça peut bien nous faire ?