Follow

Le reseau n'est pas chiffré, et toutes les communications sont accessibles par les admin de votre instance. 😅

MAIS c'est pareil sur !!🐦
Les cadres de l'entreprise ont accès à tout.
Et la moitié d'entre eux viennent de se faire virer.

La situation est inquiétante😮
(en tout cas elle inquiète les autorités de régulation US)

Damien Kieran, responsable de la confidentialité des données, et Lea Kissner, responsable de la sécurité, ont annoncé jeudi leur démission.

Le capitaine est quasiment seul à bord de son grand navire, sans bosco, ni cambusier, ni canonnier, ni Voilier. 🙄

francetvinfo.fr/internet/resea

Donc n'utilisez que pour dire des choses que vous pourriez assumer en public (Même en MP)

Et souvenez vous que : C'EST EXACTEMENT PAREIL POUR OU !
(Et le risque est décuplé avec un monopole possédé par un mégalo imprévisible et seul)

tomsguide.fr/mastodon-vos-mot-

@HygieneMentale en plus pour les mots de passe c'est complètement faux

asocial.jacquesetmichel.fr/@mi

J'ai vérifié sur ma propre instance dans la base de données directement.

Oui, les mots de passe sont assez sécurisés dans le code proposépar . 😁

MAIS rien ne peut vous assurer que l'admin de votre instance n'a pas modifié quelques lignes.

Ce qui est c'est le code proposé au téléchargement, rarement le code réellement installé. 🕵️‍♂️

@michellabrie404 @HygieneMentale C'est Mathis Hammel qui prétend ça ,
Et pour prouver qu'il a raison, il aurait lui meme trouer une instance pour la mettre en prod . Au conditionnel , car l'instance n'est plus accessible .

Oui, @ordinatous , ces risques de sécurité existent bel et bien,
mais surtout : elles existent SUR N'IMPORTE QUEL SYSTEME.

Ce genre de polémique autour de cette aura peut-être comme coté bénéfique que un plus grand nombre de gens finira par être sensibilisé a ce genre de problématique de libriste. 🤓

@HygieneMentale
Je suis d'accord , j'avance le même argument : que c'est valable sur n'importe quel système.

On passera sur son argument d'autorité : je suis expert en sécurité = je sais ce que je dis.

Si il est expert , et bien qu'il nous conseil en hardening plutot que de fabriquer de fausses preuves.

Cet individu souhaite tellement avoir raison, qu'il ne me donne pas confiance en fait .

Bref, c'est fatiguant.

@ordinatous @HygieneMentale
Il a posté tous les mots de passe des gens qui se sont inscrit sur son instance quand même (twitter.com/MathisHammel/statu), ça ne ressemble pas à de l'esbrouffe. Mais si c'est du fake le mec va vraiment très loin!

@DanChaltiel @HygieneMentale Il n'y a rien d'exceptionnel dans sa démonstration.

Car , vu que c'est possible de base , pourquoi s'échine t il à créer une instance pourrie ? Créer une fausse preuve .

Sa démo #POC on peut la faire sur tous les systèmes avec authentification .

La gestion des ID , leurs droits .. j'en passe , les partages ... c'est mon quotidien côté pro .
Et oui, en tant qu'admin j'ai accès à tout .
Notamment les hashes qu'il exploite . C'est pas un secret.

@ordinatous @DanChaltiel @HygieneMentale
on pourrait imaginer un système par challenge, ou l'instance n'aurait pas besoin de connaître le mot de passe, mais seulement un moyen de vérifier que l'utilisateur le connaît, mais bon, coté utilisabilité, on risque d'être bien mais pas top.

@tshirtman @ordinatous @DanChaltiel @HygieneMentale Mieux, du passwordless. Et d'un point de vue expérience utilisateur c'est plutôt pas mal.

@ordinatous @HygieneMentale

En effet, il le dit lui-même assez précisément :
twitter.com/MathisHammel/statu

(Note que je ne suis pas du tout un fanboy, c'est juste un mec que je suis, mais on est sur le fil du *seigneur de la zététique* donc essaie de ne pas trop tomber dans le biais de confirmation parce que tu as une mauvaise opinion de ce personnage)
(note également que ton intervention me fera quand même prendre avec des pincettes ses futurs tweets😀)

@DanChaltiel @HygieneMentale

Vous savez , je ne crois pas qu'il y aient de bonnes ou mauvaises opinions .... (t'as la ref ?).

Que des biais qui m'ont tendu la main...

Bon, malgré sa mise en garde , pensez vous que je sois plus méfiant qu'avant ?
Euh non.

Si un serveur de vente ou de santé se fait casser , c'est pas la même mayonnaise tout est là .

En règle général sur un RS on a aucune raison de fournir CB, secu , CN .
Par contre Blablacar est un bon candidat .

@DanChaltiel @HygieneMentale

Il enfonce des portes ouvertes .

C'est aussi simple que ça .

Demain, tu fais un script, ou un docker de son truc , et t'as un #honeypot #hack c'est tout .

Ton mot de passe est encore moins bien protéger sous windows . Mais c'est un autre débat.

@HygieneMentale

Et au-delà des risques de sécurité..c'est surtout un problème de confiance. A moins d'avoir son propre service maîtrisé de bout en bout et d'être suffisamment calé.e techniquement... Soyons vigilants :)

@HygieneMentale Au passage, pour ceux qui ont besoin de chiffrement de bout en bout¹, mais qui ne veulent pas d'une architecture réseau centralisée (donc pas Signal), et que ça soit open source par dessus le marché, je rappelle qu'il y a @matrix.

¹ Par exemple dès qu'on serait tenté faire un MP avec des données sensibles (rappel que ce n'est pas synonyme de données personnelles, il faut nous inquiéter aussi des autres personnes dont nous parlons dans nos MP.)

@lebout2canap @HygieneMentale @matrix je suis en train de voir si on peut se démerder à pousser des messages chiffrés GPG sans modif de l'App. Je commence par une Extension navigateur. Je verrai ce que je peux faire pour les app

@lebout2canap @HygieneMentale @matrix bon. J'ai un truc qui marche sur Firefox et les navigateurs Chromium et dérivés (chrome, brave, etc...)
Je me suis rendu compte que je pouvais le rendre universel en plus... Bref, je vous en parlerai avec le tag #GPGEverywhere d'ici la fin du week-end. Ce sera évidemment open source hein.

@HygieneMentale par contre je me suis posé la question de faire en sorte de pousser en MP des messages chiffrés GPG, et que ce soit automatiquement déchiffré via une extension de navigateur ou de l'App mobile. C'est assez simple à faire pour le mode navigateur... Je vais voir ce soir si je ne peux pas faire une bidouille universelle.

@HygieneMentale sur Tusky ça sera pas simple. Sur le navigateur par contre je vois facilement comment m'en sortir. Je ne garantie rien, j'ai un rase moquette de 3 mois qui a décidé que je ne geekerait que s'il le veut bien.

Je ne doute pas que une messagerie chiffrée de bout en bout soit un jour proposé sur un fork de . 🤓

En vrai pour du chiffrement bout en bout ça impliquerait quand même que les gens sachent gérer leurs sessions pour pouvoir avoir et c’est compliqué et confus. De ce que j’ai vu, les gens ont déjà assez de mal avec le concept de décentralisation.

Donc j’ai plutôt l’impression que c’pas forcément évident. Je pense que la meilleure posture reste de rappeler aux gens qu’ici comme sur twitter, tout est public et qu’il vaut mieux les rediriger vers de véritables services de messageries instantanée avec ces fonctionnalités :obi_think:

@HygieneMentale
Qu'il s'étouffe avec ses 44 milliards et so réseau social de merde.

@HygieneMentale
Avec moitié moins d'employés il y a moitié moins de risques que l'un d'eux lise vos données privées. Malin 🙃

Non, au contraire.

Parmi tout ceux qui ont eu accès a mes données personnelles, MotsDePasse et MessagesPrivés , la moitié d'entre eux sont maintenant sans emplois, sans revenus, vénèrs, et prêts a en découdre.

Et les garde-fous, sécuri-vigilents, et contre-pouvoirs sont maintenant divisés par deux.

C'est pas rassurant. 😅

@HygieneMentale J'ai mis un émoji ironique 🙂

Je pense que les (ex-)employés ne sont pas des lapereaux de 3 jours, ils savent que de mauvais agissements impulsifs tomberaient sous le coup de la loi.

Mais les sécuri-vigilents sont (environ) divisés par deux, ça en effet.

@HygieneMentale
et ce serait tout à fait jouable d'avoir de la messagerie parfaitement chiffrée de bout en bout dans mastodon. c'est le cas sur #protonmail, #xmpp, #wire, et d'autres. je ne comprends pas qu'il n'y ait pas eu de développement en ce sens, pas à ma connaissance.
mis bon je pige déjà pas que les discussions de devs se passent sur github et discord, tsss

@HygieneMentale

Mais sur #mastodon, si on n'a pas confiance aux admins de l'instance, on peut librement changer ou créer sa propre instance tout en restant connecté au réseau.

Oui, exactement.

Perdre confiance en signifie juste déménager vers une instance en qui on aurait plus confiance. C'est simple et rapide.

Mais perdre confiance en ou signifierait quitter définitivement tout le reseau, et rompre le contact avec ses proches/collègues/crateursdecontenus/abonnés. C'est très "coûteux".

Sign in to participate in the conversation
Octodon

oc.todon.fr is a mostly French-speaking Mastodon instance with an active moderation. oc.todon.fr est une instance Mastodon principalement francophone et avec une modération active.