🚲 Tanguy Ortolo a écrit 12253 commentaires

Perso, mon répondeur ne prend pas de messages mais invite à laisser un SMS. Est-ce le genre de chose que tu ferais ?

(J'ai désactivé la messagerie parce que je trouvais très pénible d'aller la consulter, du coup je n'écoutais les messages qu'au bout de plusieurs jours, voire semaines. À ce compte-là, autant ne pas les accepter du tout, c'est plus honnête pour celui qui cherche à me joindre.)

Je n'ai pas compris grand chose à ton commentaire, où veux-tu en venir au juste ?

J'ai déjà vu des logiciels qui n'aimaient pas tourner sous LineageOS non rooté, mais qui passaient très bien une fois Magisk installé en les mettant en liste de refus de root.

J'adore l'ironie de cette situation : comme mon téléphone avait l'air pas assez sûr pour tel logiciel, je l'ai rooté et maintenant ça passe. :-D

N'importe quoi. L"utilisateur a besoin de se rappeler de quelque chose pour déverrouiller son téléphone au démarrage. Ce code (ou motif, qui est en fait transformé en code) sert à déchiffrer le système de fichiers de l'eMMC. Il pourrait être utilisé pour déchiffrer également celui de la SD.

Et c'est vraiment balkanisé, la preuve. Des systèmes de récupération comme TWRP sont incapables de déchiffrer les eMMC de certains téléphones parce que ces derniers utilisent je ne sais quel code propriétaire pour effectuer le chiffrement. Des trucs standard comme LUKS ou eCryptFS, ça doit être trop bien pour eux.

Si elle est chiffrée, tu peux faire une croix sur que contient ta carte SD aussi.

C'est vrai que c'est assez fascinant, la balkanisation du chiffrement de systèmes de fichiers sous Android. Merci Google.

Et alors, c'est mal, de descendre pour récupérer une livraison ?

Il n'est pas question de seulement pouvoir déverrouiller le chargeur de démarrage, ce qui est simplement un prérequis indispensable pour installer un OS de son choix.

Il est surtout question de pouvoir le re-verrouillée après installation. Ce qui implique aussi de pouvoir y injecter la clef publique correspondant à la clef secrète avec laquelle le noyau a été signé.

Ça fait aussi partie de mes critères de choix, mais pour une autre raison : quand le téléphone tombe en panne, on peut faire une croix sur son eMMC et tout ce qu'elle contient. La carte SD, on peut toujours la récupérer, même si le téléphone a fait une chute du troisième étage.

Attention, les Google Pixel on un inconvénient majeur : pas d'emplacement pour une carte SD.

Ça se fait depuis un OS démarré. Mais le point clef, c'est que le déverrouillage du chargeur de démarrage a une conséquence assez lourde : cela formate la partition de données.

<Sinon, je ne comprends pas trop l'importance d'un chargeur de démarrage verrouillé. Après tout, si le contenu du téléphone est chiffré (paramètre par défaut, non ?), le voleur ne peut pas avoir accès aux données ?

Pas directement. Mais il peut remplacer ton noyau, ou plutôt ton initrd – qui eux ne sont pas chiffrés – par un qui va faire un peu plus que celui que tu utilises habituellement. Par exemple, au moment de déchiffrer le système de fichiers, envoyer au passage la clef de déchiffrement à quelqu'un. Et dans un second temps, le même attaquant pourra cette fois-ci déchiffrer ton système de fichiers.

Ça, c'est une attaque en deux temps, mais ça peut se faire en une seule passe, dans la mesure où, quand on peut remplacer le noyau et l'initrd, on peut en fait faire plein de trucs invisibles une fois le système complètement démarré.

En fait, la possibilité de remplacer noyau et initrd permet des attaques très puissantes, et le chiffrement des systèmes de fichiers n'est pas un problème, puisqu'il suffit de demander à l'utilisateur de les déchiffrer, comme il a l'habitude de le faire à chaque démarrage.

Grand bien leur fasse, qu'est-ce que ça peut bien nous faire ?

Ça peut être plus simple que ça :

• si le contrat de sous-traitance précise qu'il y a du démarchage, ce qui est connu comme illégal, l'artisan et son sous-traitant devraient être poursuivis ;
• si le contrat ne précise rien de tel, on devrait donner le choix à l'artisan entre fournir toutes les infos sur son sous-traitant (identité de l'entreprise et de l'interlocuteur) et, s'il est incapable de le faire ou refuse de le faire, le poursuivre lui.

Dans l’univers du logiciel libre, nous avons su bâtir des écosystèmes robustes, fiables et sécurisés. Les distributions GNU/Linux modernes en sont la preuve : elles respectent des standards élevés en matière de sécurité, d’intégrité logicielle et de maintenance.

Tu es au courant que le verrouillage du chargeur de démarrage est une pratique très, très rare sur PC ?

Personnellement, je pars du principe que si quelqu'un obtenu un accès physique à une de mes machines pendant assez longtemps, celle-ci est peut-être compromise.

Aujourd’hui, on assiste au même phénomène avec LineageOS. Ses versions non maintenues pullulent, laissant des utilisateurs avec des systèmes non patchés et vulnérables. Ce n’est plus une alternative crédible. C’est un projet en sursis.

C'est ça. Comparons un peu avec ce fameux GrapheneOS. Ce dernier prend en charge quoi ? Les Google Pixel. Et puis ? Et puis c'est tout. C'est mort avant d'être né, ce truc.

En général, ce n'est pas aux gens de se faire justice. Ces affaires devraient être traitées par les services dont c'est le métier (police, justice, et répression des fraudes).

Tout à fait. D'où l'intérêt de se montrer intéressé jusqu'à obtenir des informations suffisantes pour dénoncer quelqu'un à la DGCCRF.

Sais pas. C'est de base dans LineageOS.

Ça, j'espère que ça viendra. Il me semble que c'est déjà en place en Amérique, ou quelque chose comme ça.

Sauf que ça n'aurait qu'un effet local et que pour ça, il faut pas mal de démarchés qui jouent à ce jeu-là.

Tandis que pour déclencher une action de la DGCCRF qui puisse éventuellement aboutir à la condamnation d'un prestataire mafieux, une centaine ou un millier de signalements sur toute la France pourrait suffire.

Les logiciels d'authentification et de banque.

Ça m'a permis d'éviter une galère pas possible pour pouvoir me connecter à des outils de travail après une panne de téléphone.

Franchement, à part une descente de police dans le call center, je ne vois pas trop ce qui pourrait les arrêter… Une fois que tu as glissé dans la délinquance commerciale, ce n'est pas une loi de plus ou de moins qui va gêner ton business clandestin.

Je me demande si ça ne pourrait pas quand même aider. Clairement, signaler un démarcheur qui donne un faux nom et qui utilise un faux numéro de téléphone ne sert à rien et ne peut déboucher sur rien. En revanche, aller à l'étape d'après, en se montrant intéressé pour entrer en contact avec l'artisan local et obtenir assez d'informations pour le dénoncer lui, ça peut générer assez de signalements pour que la DGCCRF puisse avoir quelques poignées d'artisans à interroger et espérer identifier leurs prestataires mafieux.

Surtout que si la DGCCRF se retrouve à interroger un artisan qui sous-traite du démarchage illégal, il ne leur sera pas bien difficile de l'amener à dénoncer son sous-traitant.

Ce qui pourrait peut-être les gêner, c'est s'il devenait possible de revenir en partie sur le coût des travaux en prétextant que le démarchage initial était illégal, mais je ne suis pas sûr que ça soit possible. Une fois les travaux exécutés légalement, il est assez facile pour le professionnel de prétendre avoir été contacté directement et de ne pas avoir fait appel à un intermédiaire (qui peut-être d'ailleurs se fait payer en liquide etc).

Toujours enregistrer les appels. C'est la première chose que je fais quand je reçois un appel inconnu, démarrer l'enregistrement.

Au pire le professionnel pourra prétendre qu'il ne savait pas que les méthodes de l'intermédiaire étaient illicites, et ça réduira sa responsabilité.

Impossible. Le démarchage pour la rénovation énergétique étant interdit tout court, un artisan qui propose ce genre de prestation ne peut pas ignorer que, s'il fait appel à un prestataire pour démarcher des prospects, l'activité de ce dernier est illégale.

Tiens, ça va être un avantage de l'interdiction pure et simple auquel je n'avais pas pensé : plus aucune entreprise ne pourra prétendre ignorer que leurs démarcheurs sont dans l'illégalité. Et pour rappel, les actions d'un sous-traitant engagent la responsabilité du donneur d'ordre.

Eh bien là, je crois que pour effectuer un signalement, il faut malheureusement aller jusqu'au rappel par un artisan. Et c'est lui qu'il faut dénoncer, faute d'information sur la boîte à qui il sous-traite le boulot illégal.

Pour participer à la lutte contre le démarchage, toute l'astuce va donc être de donner l'impression qu'on est intéressé, sans pour autant révéler quoi que ce soit d'intéressant, jusqu'à obtenir assez d'information pour effectuer une dénonciation.

Je l'ai déjà fait une ou deux fois avec succès, mais ce n'est pas évident. Cela nécessite pas mal de patience et de sang-froid.

Parce que mon but n'est pas de me débarrasser personnellement du démarchage, mais de participer à sa réduction. Au niveau personnel, cela revient à essayer de nuire autant que possible au démarcheur ou à son donneur d'ordre. Il y a plusieurs approches pour cela, notamment leur faire perdre du temps ou parvenir à les dénoncer.

À propos de démarchage en mode balek, le dernier appel que j'ai reçu était édifiant. Il provenait d'un numéro en 07, ce qui est interdit. Le démarcheur s'est fait passer pour un genre d'agence de l'énergie et a essayé de me faire croire qu'il était mandaté par mon fournisseur d'énergie, ce qui constitue sans doute une tromperie ou autre infraction équivalente.

J'ai joué le jeu, puisque pour espérer pouvoir le dénoncer, il me faut un minimum d'information. Il a été assez vague sur qui était mon fournisseur d'énergie, et a quand même prétendu être au courant de ma consommation, du montant de ma facture d'électricité et de la surface de mon logement. J'ai pu vérifier que ce n'était évidemment pas du tout le cas : il connaissait une ancienne adresse et inventait complètement le reste.

Quand je lui ai parlé de Bloctel, il a prétendu que je n'y étais pas parce que les inscriptions ne valent que tant d'années. Ce dernier point étant exact, ça m'a fait douter et j'ai été vérifier par la suite, je suis encore sur Bloctel pour encore deux ans.

Ensuite, quand j'en suis venu à l'interroger sur son identité et son employeur, il m'a donné des informations bidon, ce qu'il a carrément reconnu par la suite : “Allez-y, signalez mon appel, vous ne pensez quand même pas que je vous ai donné un vrai nom ?”

Mode balek, vraiment.