🚲 Tanguy Ortolo a écrit 12334 commentaires

Notez que dans des cas de harcèlement par exemple – qui n'ont rien à voir avec ce dont il est question ici – l'enregistrement effectué à l'insu de l'agresseur est de plus en plus considéré comme recevable devant un tribunal.

Concrètement, quelqu'un vous fait des avances insistantes dans un parking d'entreprise, jusqu'à commencer à vous peloter, sans enregistrement, vous pouvez toujours porter plainte, ce sera classé sans suite faute de preuve. Si en revanche vous avez un dictaphone que vous avez pensé à démarrer et que l'audio est assez fourni, vous avez peut-être une chance que le pervers soit éventuellement puni.

Je maintiens mon conseil de toujours enregistrer. Ça ne peut pas faire de mal. En revanche ça peut rendre de grands services. Par exemple, au moment de déposer un signalement à la DGCCRF ou à Bloctel : c'était quoi déjà, le nom de l'opérateur qui m'a appelé ? Facile, je repasse l'enregistrement. Au besoin, celui-ci pourrait même être fourni pour soutenir le signalement. Même sans être utilisable devant un tribunal, il reste plein d'informations potentiellement utiles.

Ensuite, pour servir de preuve juridique, effectivement, si l'interlocuteur n'est pas au courant, ça ne passe malheureusement pas, ce qui me semble une aberration de la justice française. À mon sens, les gens devraient être considérés comme responsables de ce qu'ils ont dit ou fait. Par ailleurs, prétendre devant un tribunal que, si on avait su qu'on était enregistré, on n'aurait pas dit telle ou telle chose est un assez haut niveau de mauvaise foi.

De base, je ne vois aucun raison légitime pour passer un appel depuis une ligne avec un numéro donné en affichant chez l'appelé un numéro différent.

Ça pourrait être interdit purement et simplement, la Terre continuerait de tourner. Quelques connards se plaindraient, mais c'est facile à gérer ça, il suffit de les laisser gueuler en regardant ailleurs.

Bonjour Monsieur le plombier, ici la répression des fraudes. Vous savez que votre numéro figure sur un prospectus frauduleux qui a été distribué à 3000 exemplaires dans la ville de Trifouillis-les-Oies ? Bien, très bien, alors dites-nous qui vous a proposé cette publicité illicite et nous ferons preuve de clémence.

Est-ce que ce ne serait pas plus simple si on calculait les amendes pour, de façon statistiques, couvrir au minimum les frais de lutte contre la fraude ? Avec une indexation automatique révisée chaque année par exemple.

Au fait, un des principes majeurs des entreprises, c'est qu'en cas de faillite les propriétaires ne sont pas personnellement responsables. Mais qu'en est-il en cas de fraude ? Je veux dire, si une entreprise qui mérite 200 k€ d'amende pour avoir fait un truc frauduleux sur ordre de son propriétaire fait faillite, est-ce qu'on endette bien le propriétaire à 200 k€ ou est-ce qu'il s'en tire sans rien ?

Contrôlé par le client et accepté par l'opérateur, qui est forcément complice de fait de toute usurpation de numéro.

Perso, mon répondeur ne prend pas de messages mais invite à laisser un SMS. Est-ce le genre de chose que tu ferais ?

(J'ai désactivé la messagerie parce que je trouvais très pénible d'aller la consulter, du coup je n'écoutais les messages qu'au bout de plusieurs jours, voire semaines. À ce compte-là, autant ne pas les accepter du tout, c'est plus honnête pour celui qui cherche à me joindre.)

Je n'ai pas compris grand chose à ton commentaire, où veux-tu en venir au juste ?

J'ai déjà vu des logiciels qui n'aimaient pas tourner sous LineageOS non rooté, mais qui passaient très bien une fois Magisk installé en les mettant en liste de refus de root.

J'adore l'ironie de cette situation : comme mon téléphone avait l'air pas assez sûr pour tel logiciel, je l'ai rooté et maintenant ça passe. :-D

N'importe quoi. L"utilisateur a besoin de se rappeler de quelque chose pour déverrouiller son téléphone au démarrage. Ce code (ou motif, qui est en fait transformé en code) sert à déchiffrer le système de fichiers de l'eMMC. Il pourrait être utilisé pour déchiffrer également celui de la SD.

Et c'est vraiment balkanisé, la preuve. Des systèmes de récupération comme TWRP sont incapables de déchiffrer les eMMC de certains téléphones parce que ces derniers utilisent je ne sais quel code propriétaire pour effectuer le chiffrement. Des trucs standard comme LUKS ou eCryptFS, ça doit être trop bien pour eux.

Si elle est chiffrée, tu peux faire une croix sur que contient ta carte SD aussi.

C'est vrai que c'est assez fascinant, la balkanisation du chiffrement de systèmes de fichiers sous Android. Merci Google.

Et alors, c'est mal, de descendre pour récupérer une livraison ?

Il n'est pas question de seulement pouvoir déverrouiller le chargeur de démarrage, ce qui est simplement un prérequis indispensable pour installer un OS de son choix.

Il est surtout question de pouvoir le re-verrouillée après installation. Ce qui implique aussi de pouvoir y injecter la clef publique correspondant à la clef secrète avec laquelle le noyau a été signé.

Ça fait aussi partie de mes critères de choix, mais pour une autre raison : quand le téléphone tombe en panne, on peut faire une croix sur son eMMC et tout ce qu'elle contient. La carte SD, on peut toujours la récupérer, même si le téléphone a fait une chute du troisième étage.

Attention, les Google Pixel on un inconvénient majeur : pas d'emplacement pour une carte SD.

Ça se fait depuis un OS démarré. Mais le point clef, c'est que le déverrouillage du chargeur de démarrage a une conséquence assez lourde : cela formate la partition de données.

<Sinon, je ne comprends pas trop l'importance d'un chargeur de démarrage verrouillé. Après tout, si le contenu du téléphone est chiffré (paramètre par défaut, non ?), le voleur ne peut pas avoir accès aux données ?

Pas directement. Mais il peut remplacer ton noyau, ou plutôt ton initrd – qui eux ne sont pas chiffrés – par un qui va faire un peu plus que celui que tu utilises habituellement. Par exemple, au moment de déchiffrer le système de fichiers, envoyer au passage la clef de déchiffrement à quelqu'un. Et dans un second temps, le même attaquant pourra cette fois-ci déchiffrer ton système de fichiers.

Ça, c'est une attaque en deux temps, mais ça peut se faire en une seule passe, dans la mesure où, quand on peut remplacer le noyau et l'initrd, on peut en fait faire plein de trucs invisibles une fois le système complètement démarré.

En fait, la possibilité de remplacer noyau et initrd permet des attaques très puissantes, et le chiffrement des systèmes de fichiers n'est pas un problème, puisqu'il suffit de demander à l'utilisateur de les déchiffrer, comme il a l'habitude de le faire à chaque démarrage.

Grand bien leur fasse, qu'est-ce que ça peut bien nous faire ?

Ça peut être plus simple que ça :

• si le contrat de sous-traitance précise qu'il y a du démarchage, ce qui est connu comme illégal, l'artisan et son sous-traitant devraient être poursuivis ;
• si le contrat ne précise rien de tel, on devrait donner le choix à l'artisan entre fournir toutes les infos sur son sous-traitant (identité de l'entreprise et de l'interlocuteur) et, s'il est incapable de le faire ou refuse de le faire, le poursuivre lui.

Dans l’univers du logiciel libre, nous avons su bâtir des écosystèmes robustes, fiables et sécurisés. Les distributions GNU/Linux modernes en sont la preuve : elles respectent des standards élevés en matière de sécurité, d’intégrité logicielle et de maintenance.

Tu es au courant que le verrouillage du chargeur de démarrage est une pratique très, très rare sur PC ?

Personnellement, je pars du principe que si quelqu'un obtenu un accès physique à une de mes machines pendant assez longtemps, celle-ci est peut-être compromise.

Aujourd’hui, on assiste au même phénomène avec LineageOS. Ses versions non maintenues pullulent, laissant des utilisateurs avec des systèmes non patchés et vulnérables. Ce n’est plus une alternative crédible. C’est un projet en sursis.

C'est ça. Comparons un peu avec ce fameux GrapheneOS. Ce dernier prend en charge quoi ? Les Google Pixel. Et puis ? Et puis c'est tout. C'est mort avant d'être né, ce truc.

En général, ce n'est pas aux gens de se faire justice. Ces affaires devraient être traitées par les services dont c'est le métier (police, justice, et répression des fraudes).

Tout à fait. D'où l'intérêt de se montrer intéressé jusqu'à obtenir des informations suffisantes pour dénoncer quelqu'un à la DGCCRF.

Sais pas. C'est de base dans LineageOS.

Ça, j'espère que ça viendra. Il me semble que c'est déjà en place en Amérique, ou quelque chose comme ça.

Sauf que ça n'aurait qu'un effet local et que pour ça, il faut pas mal de démarchés qui jouent à ce jeu-là.

Tandis que pour déclencher une action de la DGCCRF qui puisse éventuellement aboutir à la condamnation d'un prestataire mafieux, une centaine ou un millier de signalements sur toute la France pourrait suffire.

Les logiciels d'authentification et de banque.

Ça m'a permis d'éviter une galère pas possible pour pouvoir me connecter à des outils de travail après une panne de téléphone.