Informatique

[08:50:52] <gilari>

Et vraiment efficace. Un Firefox blindé d'addons "anti-fingerprinting", fait même parfois plus de mal que de bien. S'en tenir à forcer HTTPS, bloquer des tiers, éventuellement des scripts, mais pas plus.

Efficace pour se fondre dans la masse oui. Mais pas pour éviter le pistage du coup.
Faut donc choisir entre bloquer les scripts et les éléments tiers ou se faire tracer par le fingerprinting.
Vu comment ça emmerde les publicitaire mon choix est fait pour ma part. Aussi j'ai pas le temps d'attendre 2 min que tous les trackers se soient chargés pour avoir mon contenu.

C'est pas tout à fait ce que j'ai écrit. Il y a simplement un compromis à faire.

Et puis, la sécurité avant tout. Mais il faut établir un threat model, sinon ça sert à rien d'aller plus loin.

[10:41:17] <gunrell>
Après chacun son point de vue mais ce que j'aime pas avec le marketing des VPN c'est qu'ils te vendent une sécurité accrue alors que dans les faits ...

Si tu utilise un site en HTTPS ou tu encapsule dans un tunnel SSH le flux est déjà chiffré.

Vous allez me dire ouais mais si tu utilise un site en HTTP, bah c'est la même chose avec un VPN, le flux sera chiffré entre toi et le VPN mais pas entre le VPN et le site ...

J'utilise du VPN a titre pro uniquement, pour se connecter à un serveur qui n'est pas accessible directement sur internet par exemple.

Utiliser un VPN n'a jamais empeché Windows ni aux sites ayant du Ganalyts d'envoyer de la télémetrie ...
Avec le VPN ils n'ont juste pas votre IP ... Super ... par contre ils connaissant vos habitudes de navigation vous inquiétez pas !

Tout est question de confiance, en fait. Tu fais confiance à ton ISP, ou à ton fournisseur de VPN ? Et si tu self-host, tu fais confiance à l'ISP de ce serveur ? Etc.

Sur une connexion tierce, publique, la question ne se pose pas.

Et puis, la sécurité avant tout. Mais il faut établir un threat model, sinon ça sert à rien d'aller plus loin.

On est complètement d'accord.

J'utilise ProtonMail mais pas de VPN
Ca sert à rien
Je m'inquiète plus de mes données persos stockés par Google, Amazon etc ... que le fait que l'Etat surveille mon trafic...
Et si je dois faire un VPN je le ferais moi-même via un VPS hébergé quelque part

Et si je dois faire un VPN je le ferais moi-même via un VPS hébergé quelque part

Ça n'a d'intérêt que si tu peux noyer ton traffic dans la masse, si t'es le seul sur ton VPS tu n'accomplis rien

Personnellement, je n'utilise rien de tout ça, pas de VPN non plus. Mes emails sont chez Google, et je pense qu'ils sachent depuis longtemps ce qu'ils ont besoin de savoir. Du coup je ne vois pas trop l'intérêt d'avoir un mail chez ProtonMail par exemple, je ne sais pas ce que j'y gagnerai sachant que je n'utilise presque jamais mes adresses email. Ils peuvent aussi mettre la publicité qu'ils veulent sur leur site, ça a l'air bien beau tout ça, mais tant que je n'ai pas de preuves et que je n'ai pas vu de mes yeux toutes ces choses, je n'accorde qu'une confiance limitée dans les tiers.
Par contre pour mes mots de passe j'utilise Keepass, mais là encore je ne sais pas si je peux lui accorder une totale confiance ...

Mes emails sont chez Google, et je pense qu'ils sachent depuis longtemps ce qu'ils ont besoin de savoir.

_

je n'accorde qu'une confiance limitée dans les tiers.

Tu mets tes emails chez Google et tu ne vois pas le souci mais tu accorde une confiance limité dans les tiers.
Tu as un petit soucis non ?

gilari Bah oui mais ça ne m'empêche pas d'utiliser, je vois pas le soucis. Tu ne pourras jamais accorder une confiance à 100% à n'importe quel acteur. La preuve ProtonMail a déjà bien subit des attaques, le service n'est pas fiable à 100% et peut être inopérant sur une courte période.
Mais comme tu as été un peu vite en besogne, mes mails me servent avant tout pour des conneries comme la créations de compte sur le forum jvc . Je n'utilise presque jamais le mail autrement comme messagerie de communication. Et mon mail pour la communication, les commandes etc ... , bah il y a quasiment rien dessus non plus. Pour l'université, j'ai l'adresse de l'université, je n'utilise rien d'autre en interne. Je n'ai pas de réseaux sociaux non plus donc l'impact est déjà plus limité.

OK si je comprends bien tu utilise des services cloud sans leur faire confiance et ça ne te pose pas de problème ?
J'ai bon ?

gilari Tout a fait exact Cela fait des années que je suis chez Gmail, je ne vois pas l'intérêt de changer maintenant pour des "conneries". Je n'accorde aucune confiance totale, que le tiers soit libre/open-source ou propriétaire, je l'ai pourtant répété plusieurs fois ... Étant donné que je ne peux de toute manière faire tout cela moi-même, je n'ai pas d'autres choix que d'utiliser des services tiers. C'est pourtant simple à comprendre non ? Par exemple tu utilises bien Linux, mais te sens-tu totalement en confiance ? Tu dépends toujours de personnes à qui il faut leur accorder ta confiance. De même que mon gestionnaire de mots de passe qui est pourtant libre/open-source, puis-je continuer à l'utiliser sereinement ? Je pars peut être un peu loin mais c'est comme ça que ça fonctionne.
La seule chose possible est de limiter l'impact de circulation des données. Mais pour mon compte jvc, Xbox ou que sais-je encore j'en ai rien à faire, vraiment. N'ayant pas d'activité professionnelle, je ne juge pas nécessaire d'utiser un email plus sécurisé, je n'utilise pas l'email en règle général pour communiquer. J'y réfléchirai sans doute quand j'aurai un peu plus de recul sur la chose et quand j'aurai une activité professionnelle. Alors si ma façon de faire est mal je suis tout ouïe.

Par ailleurs, je n'ai pas la prétention de connaître quoique ce soit en réseau ou en sécurité, je n'y connais strictement rien ( inutile de dire que s'en est à la preuve je le sais déjà ).

Alors au lieu de me juger ou de t'amuser, ne pourrais-tu pas plutôt opter pour une démarche constructive en donnant des conseils ou partager ton expérience, ton savoir ?

L'open source sert justement à pouvoir faire confiance aux logiciel avant de les utiliser car on peut inspecter le code.

Perso je n'ai aucune confiance au produit Apple qui m'atraque partout, tout le temps respecter la vie privée, tout en ayant un code source aussi fermer qu'une pucelle.

Oui on ne peux pas faire totalement confiance à un produit, mais quitte à utiliser un produit autant en utiliser un open sources et respectueux VP.

Sinon pourquoi tu utilises Keepass qui est hyper contraignant (Bitwarden a été créé pour sa) à la place de Lastpass, Endpass ou encore Dashlane ?

@AsariTech : je juge pas j'essaie juste de comprendre ton raisonnement.

Sinon pourquoi tu utilises Keepass qui est hyper contraignant (Bitwarden a été créé pour sa) à la place de Lastpass, Endpass ou encore Dashlane ?

Je l'utilise depuis quelques années et je voie pas en quoi c'est contraignant.

Contraignant dans le fais qu'il n'y a pas de synchronisation auto et le logiciel est hyper fade, pas jolie, après oui il fonctionne parfaitement bien.

@AsariTech : je juge pas j'essaie juste de comprendre ton raisonnement.

Je pense que son raisonnement, c'est juste de dire qu'il existe une nuance entre l'extrémiste de la vie privée et de l'anonymat sur le net, et le Jean-Mets-Partout qui tartine toute sa vie privée et ses informations sensibles sur une large gamme de services à l'éthique douteuse.
Utiliser GMail ça revient à considérer que Google (et potentiellement certaines agences gouvernementales américaines) a accès à ce qui circule dessus, mais rien ne t'oblige à y faire circuler des informations vraiment critiques. C'est là le fond du débat, déterminer ce qui est critique ou non dans nos vies, ce qui mérite d'être traité comme de l'information classifiée à un niveau extrême, et ce qui pourrait être lu par un acteur malveillant sans mettre notre vie en péril.

Je me demande s'il n'y a pas déjà eu un topic qui avait assez bien marché sur le sujet de la vie privée ici justement.

Pour les emails, tu peux les héberger chez toi.
Je n'ai aucun avis concernant les VPN que je n'utilise pas.
Il y a des fournisseurs de VPN chez https://chatons.org/

Et pour jeter un cailloux dans la mare, si quelqu'un est capable d'installer une distribution linux, il est aussi capable de gérer son contenu chez lui (fichiers, emails, whatever). Sa vie privée est quelque chose de privée (pas si obvious que ça à la lecture de certains messages) et ça n'a rien à foutre chez les autres. Et quand tu décides d'envoyer un mail à quelqu'un depuis gmail, tu informes des sociétés de merde que ce quelqu'un est un de tes contacts et ce quelqu'un n'a peut-être pas envie que ce soit le cas.

Merci Flippy-[971] pour m'avoir fait découvrir Bitwarden ! J'aime beaucoup, la synchronisation c'est ce qui me manquait avec Keepass justement. J'aime bien aussi le remplissage automatique des entrées dans les barres de texte. Je garde quand même Keepass pour une sauvegarde locale, on ne sait jamais, les données avec Bitwarden sont quand même sur un cloud. Après à voir si le service est à la hauteur de ce qu'il prétend concernant la sécurité. Peut être que je vais d'ailleurs réussir à convaincre des personnes que je connais de se mettre à la page et d'arrêter de choisir des mots de passe bidon et communs à tous les comptes. Surtout qu'avec un bon gestionnaire de mots de passe il n'y a pas à se prendre la tête.

Pour les emails, tu peux les héberger chez toi.

C'est une vraie galère. J'hébergeais mes mails pendant 5 ans, j'avais la boule au ventre à chaque mail "pro". Car j'avais beau avoir 10/10 sur mail-tester (SPF, DKIM, DMARC, tout ça et d'autres trucs encore, je connais bien), et donc malgré que mon IP soit sur aucune blacklist, et bien tu as quand même quelques services malheureusement utilisés qui envoient en spam sans aucune raison apparente. Microsoft est connu pour rejeter masse serveurs mails à la louche, et leur support est un enfer (je suis gentil).

Maintenant je suis chez ProtonMail, et je souffle un peu, rien ne va plus en spam.
Malgré tout, ce fut une belle expérience, et j'encourage les passionnés du self-hosting d'essayer.

Et avec du recul j'émets un doute sur l'expérience "full self-host". Bien sûr que c'est très bien de gérer soi-même ses services, mais il y en a qui le font en négligeant complètement la sécurité et la maintenance (ça va de pair) de leur installation. Pour ces personnes, et partant du postulat que la sécurité prime sur tout... peut-être même que Gmail est mieux qu'un gruyère ?

Après à voir si le service est à la hauteur de ce qu'il prétend concernant la sécurité.

Leurs softwares sont bons, après tu n'es pas obligé d'utiliser leur service. Tu peux installer Bitwarden toi-même, par exemple l'implémentation Rust que j'utilise personnellement : https://github.com/dani-garcia/bitwarden_rs

Comme ça, tu n'as pas à payer pour les features supplémentaires (qui sont de tête MFA, TOTP, etc.).

L'open source sert justement à pouvoir faire confiance aux logiciel avant de les utiliser car on peut inspecter le code.

Je commence par dire que je suis 100% d'accord, mais il faut garder un truc important à l'esprit : open-source ne veut pas dire sûr, loin de là. Faire tourner un code sur sa machine car il est open-source n'est pas gage de sécurité. Je sais que tu ne le penses sûrement pas mais il faut le préciser et ne pas l'oublier.

Windows 10 par exemple a fait de gros progrès en matière de sécurité et j'irais même jusqu'à dire est plus sûr que certaines distributions Linux, dû au manque de sandboxing dans ces dernières. De même on parle d'Apple mais il se trouve qu'iOS est un des meilleurs choix (un bien meilleur choix étant GrapheneOS sur un Pixel) qu'un Android troué de failles et bourré de services tiers. Je n'invente rien, vous trouverez des avis de chercheurs en sécurité sur le sujet.

Il y a vraiment tant de choses à dire sur le sujet, et beaucoup d'idées reçues même chez les "consultants en sécurité". Je dévie peut-être un peu du sujet, pardonnez-moi.

Et avec du recul j'émets un doute sur l'expérience "full self-host". Bien sûr que c'est très bien de gérer soi-même ses services, mais il y en a qui le font en négligeant complètement la sécurité et la maintenance (ça va de pair) de leur installation.

Même remarque avec les services auxquels tu peux souscrire. Beaucoup de boites placent la rentabilité avec la sécurité. En hébergeant les données chez moi, j'ai moins de risque que j'ai un fournisseur et la raison est simple : je n'intéresse personne alors que fournisseur de service si (cf la quantité important de gros services qui se font éclater leur base de données).

tu as quand même quelques services malheureusement utilisés qui envoient en spam sans aucune raison apparente. Microsoft est connu pour rejeter masse serveurs mails à la louche, et leur support est un enfer (je suis gentil).

Et tu leur donne raison en abandonnant ton serveur de mail…
Je ne vais pas abandonner mes données sous prétexte que Microsoft et Gmail décident que je ressemble à du SPAM. Le jour où on hack ton accès à ta boite mail, je serai curieux de voir comment tu vas récupérer tes mails supprimés chez Gmail/Hotmail/Whatever.

Se tourner et promouvoir des acteurs locaux et éthiques est important. Quitter les services ultras centralisés est primordiale.

Et tu leur donne raison en abandonnant ton serveur de mail…
Je ne vais pas abandonner mes données sous prétexte que Microsoft et Gmail décident que je ressemble à du SPAM. Le jour où on hack ton accès à ta boite mail, je serai curieux de voir comment tu vas récupérer tes mails supprimés chez Gmail/Hotmail/Whatever.

Se tourner et promouvoir des acteurs locaux et éthiques est important. Quitter les services ultras centralisés est primordiale.

Bof, comme dit je suis d'accord en théorie, mais en pratique c'est d'une autre nature. J'ai pas eu de problèmes 99% du temps, mais j'estime que je ne vais plus risquer quoique ce soit.

De toute façon j'évite le mail autant que possible et je privilégie Signal et Matrix (self-hosted) autant que possible. Héberger ses mails c'est cool mais si c'est pour papoter avec tes contacts en clair sur Gmail, ce n'est pas aussi intéressant qu'on ne le pense.

Le jour où on hack ton accès à ta boite mail, je serai curieux de voir comment tu vas récupérer tes mails supprimés chez Gmail/Hotmail/Whatever.

Pas bien compris le rapport.

Quitter les services ultras centralisés est primordiale.

Pas dit le contraire. Mais tout le monde n'en est pas capable, tu ne peux pas former tout le monde à la sécurité. "Vaut mieux Gmail qu'un gruyère", c'est extrême mais je le maintiens (à ceux qui lisent, n'utilisez pas Gmail).

je n'intéresse personne alors que fournisseur de service si (cf la quantité important de gros services qui se font éclater leur base de données).

La sécurité par l'obscurité n'est pas une vraie sécurité IMO. Ce n'est pas parce que ton service est unique que tu dois négliger sa sécurité pour autant, ni que tu intéresses personne, les relais SMTP ouverts sont par exemple vite détectés et utilisés à mauvais escients.

Pour moi ce n'est pas vraiment l'argument en faveur du self-hosting. Et je le dis vraiment en tant qu'acteur dans le domaine. C'est stressant et rien ne doit être pris à la légère, si ce n'est pas une passion, ce n'est pas la peine. Quant à déléguer ses services chez des particuliers, j'émets là aussi un gros doute.