sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

Google Online Security Blog: Google Authenticator now supports Google Account synchronization

Monday 24 April 2023 at 19:09

Alors voilà une formidable idée à la con de Google : Copier vos codes TOTP sur les serveurs de Google.
Le TOTP, c'est censé éviter le piratage d'un compte même si on vous pique le mot de passe.
Mais là en stockant tout chez Google, en cas de piratage de compte Google il devient possible de vous piquer vos mots de passe ET vos codes TOTP.

Donc n'utilisez surtout plus Google Authenticator : il y a de fortes chance pour que Google récupère vos codes TOTP !
Prenez plutôt FreeOTP+ : https://f-droid.org/fr/packages/org.liberty.android.freeotpplus/
(Notez que dans FreeOTP+, vous avez aussi la possibilité de sauvegarder (et plus tard restaurer) vos OTP : Menu > Exporter > Exporter le format JSON et gardez bien le fichier en sécurité.)

(Je suis toujours abasourdi de voir des gens qui trouvent ça pratique. C'est comme si votre banque avait une copie des clés de chez vous, de votre voiture, et accès à la totalité des comptes que vous avez sur les différents sites web. IRL, personne ne voudrait donner autant de pouvoir à un tier. Mais chez Google les gens trouvent ça pratique. Allez comprendre.)

EDIT: Cela semble confirmé : Il n'y a pas de chiffrement de bout en bout pour les secrets OTP. Google peut y avoir accès : https://defcon.social/@mysk/110262313275622023
Vous ajoutez à cela PRISM, cela veut dire que le gouvernement américain a accès à vos codes OTP. Pas sûr que ça soit une bonne idée.

EDIT : Complémen : https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
(Permalink)

Source: https://security.googleblog.com/2023/04/google-authenticator-now-supports.html


Ex-OpenSea manager's trial kicks off in first NFT insider trading case | Reuters

Monday 24 April 2023 at 15:11

Oh ben tiens un ex-manager d'OpenSean accusé de délit d'initié dans la vente de NFT...
(Permalink)

Source: https://www.reuters.com/legal/ex-opensea-managers-trial-kicks-off-first-nft-insider-trading-case-2023-04-24/


La proposition ICANN/Verisign permettrait à n'importe quel gouvernement de saisir des noms de domaine en .net, prévient un activiste qui indique que cela pourrait s'étendre aux domaines en .com

Monday 24 April 2023 at 11:05

Groumpf.
(Permalink)

Source: https://web.developpez.com/actu/343765/La-proposition-ICANN-Verisign-permettrait-a-n-importe-quel-gouvernement-de-saisir-des-noms-de-domaine-en-net-previent-un-activiste-qui-indique-que-cela-pourrait-s-etendre-aux-domaines-en-com/


Parcoursup : des élèves lésés après des erreurs de notation aux épreuves de spécialité du bac - L'Etudiant

Thursday 20 April 2023 at 21:20

Désastre numérique.
(Permalink)

Source: https://www.letudiant.fr/bac/parcoursup-des-eleves-leses-apres-des-erreurs-de-notation-aux-epreuves-de-specialites-du-bac.html


Kape Technologies possède désormais ExpressVPN, CyberGhost, PIA, Zenmate et plusieurs sites d'évaluation de VPN, ce qui suscite des craintes par rapport à la fiabilité du service

Thursday 20 April 2023 at 19:47

« ... et plusieurs sites d'évaluation de VPN. »

Et aussi : https://www.opportunites-digitales.com/comment-kape-technologies-fait-progressivement-main-basse-sur-lindustrie-du-vpn/
(Permalink)

Source: https://securite.developpez.com/actu/328021/Kape-Technologies-possede-desormais-ExpressVPN-CyberGhost-PIA-Zenmate-et-plusieurs-sites-d-evaluation-de-VPN-ce-qui-suscite-des-craintes-par-rapport-a-la-fiabilite-du-service/


When Apple Comes Calling, 'It's the Kiss of Death' - Slashdot

Thursday 20 April 2023 at 18:56

Le baiser de la mort d'Apple:
1) un gars invente un procédé pour mesurer le taux d'oxygène dans le sang.
2) il développe ça dans son entreprise avec ses ingénieurs.
3) il le propose et présente à Apple pour sa Smart watch, pensant que ça pourrait les intéresser.
4) Apple débauche tous ses ingénieurs en doublant leur salaire.
5) Apple déposer un brevet sur la technologie.
(Permalink)

Source: https://apple.slashdot.org/story/23/04/20/1457229/when-apple-comes-calling-its-the-kiss-of-death


Mullvad VPN was subject to a search warrant. Customer data not compromised - Blog | Mullvad VPN

Thursday 20 April 2023 at 14:46

Donc :
Le 18 avril, la police a débarqué dans les locaux de Mullvad VPN avec un mandat de perquisition afin de récupérer des informations sur des clients de Mullvad.
Mullvad leur a gentiment expliqué qu'ils n'en ont pas. Pas de logs, pas d'infos, rien.
Les policiers sont repartis sans saisir une seule machine.
Ils en auraient saisi une, ils n'y auraient rien trouvé. (Oui Mullvad n'a même pas besoin de votre adresse email, et si vous ne voulez pas laisser de traces bancaires vous pouvez les payer en cash, BitCoin ou Monero).

On peut dire que c'est *vraiment* un service de VPN qui fait ce qu'il dit. Ce sont des gens compétents, ils savent ce qu'ils font (ils ont des contre-mesures pour s'assurer que des serveurs n'ont pas été "ouverts". Ils ont même des idées orignales pour la sécurité : https://sebsauvage.net/links/?QiUTXA)
(Permalink)

Source: https://mullvad.net/fr/blog/2023/4/20/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised/


Unrecord sur Steam

Thursday 20 April 2023 at 14:28

Le niveau de réalisme de ce jeu doit énormément aux mouvements de la caméra (du genre "body cam") : https://www.youtube.com/watch?v=IK76q13Aqt0
(Permalink)

Source: https://store.steampowered.com/app/2381520/Unrecord/


Serge SLAMA sur Twitter : "Cet arrêté préfectoral - signé qui plus est par un ancien professeur de droit public - est totalement illégal. Un périmètre de protection de l’article L226-1 CSI n’a que pour seule fonction que de prévenir le risque terroriste et non protéger le président des hués de ses citoyens https://t.co/K7N0FujyaX" / Twitter

Thursday 20 April 2023 at 11:39

Ok donc la loi anti-terroriste est utilisée pour empêcher les gens d'avoir des casseroles sur eux. Une loi anti-terroriste pour empêcher les opposants de s'exprimer.

EDIT: On me signale qu'en 2017 un écologiste avait été condamné pour avoir... jeté des feuilles mortes sur un policier. « violences aggravées avec jet de feuilles d'origine végétale sur personne dépositaire de l'autorité publique » pour être précis. Ouais le ridicule ne touche plus les policiers : Il aurait trop honte.
https://france3-regions.francetvinfo.fr/occitanie/insolite-militant-ecologiste-juge-appel-montpellier-violences-jet-feuilles-origine-vegetale-1881024.html

EDIT: voir aussi https://www.huffingtonpost.fr/politique/article/casseroles-interdites-pour-accueillir-macron-a-ganges-le-zele-du-prefet-revolte-ses-opposants_216861.html

EDIT: Et encore la loi anti-terroriste contre les casseroles : https://www.liberation.fr/checknews/deplacement-de-macron-une-loi-anti-terroriste-de-nouveau-utilisee-pour-interdire-une-manifestation-a-vendome-un-refere-liberte-a-ete-depose-20230425_3F5Z5XKDWFCCNGYJ7TVTQGVLOA/
(Permalink)

Source: https://twitter.com/combatsdh/status/1648972142417960967


‘Counter Strike’ Gun Skin Sells for $400,000

Thursday 20 April 2023 at 11:11

Une décoration d'arme dans le jeu CS:GO s'est vendu 400 000 dollars.
(Permalink)

Source: https://www.vice.com/en/article/93ky85/counter-strike-gun-skin-sells-for-dollar400000