Il n'est pas toujours aisé de s'y retrouver dans les ROM pour Android entre GrapheneOS, /e/, LineageOS, etc. Ce comparatif permet d'y voir plus clair en matière de vie privée, de sécurité et d'autres critères.

Sans surprise pour ma part, GrapheneOS se hisse au-dessus du lot (cf. liens partagés par le passé dans mon Shaarli). Mais il ne supporte que les Google Pixel, alors si vous avez un smartphone d'une autre marque, il faudra partir sur une autre ROM.

Le même auteur a publié d'autres comparatifs, en entête de la page.

Une critique plutôt sensée des passkeys.

Via SebSauvage.

Lorsque votre certificat SSL est compromis (par exemple parce que sa clé privée a été volée), vous pouvez le révoquer, c'est-à-dire le signaler comme étant invalide et plus digne de confiance.

Mais comment le navigateur sait-il qu'un certificat est révoqué, car ce n'est pas une information que celui-ci contient ? Deux mécanismes existent : CRL et OCSP.

Cet article les présente ainsi que les problématiques liées.

ÉDIT : OCSP a depuis été déprécié en faveur de CRL : https://www.abetterinternet.org/post/replacing-ocsp-with-crls/

Lorsque vous achetez un certificat SSL, il n'est pas rare que des garanties, des assurances, soient proposées pour couvrir certains dommages pouvant résulter de mauvais usages. Quels usages ? Est-ce que ces assurances servent vraiment à quelque chose ?

Un guide de Mozilla sur les pratiques de sécurité à appliquer sur les sites Web.

Un autre du site genre.

Une page pour tester les entêtes HTTP relatives à la sécurité.

J'ai déjà partagé un article de ce blog récemment, et même s'il y a encore peu de contenu, c'est dur de ne pas tout partager, tant c'est qualitatif, bien écrit, captivant.

Ici, il est question de la sécurité de Linux (je sais, on touche à un sujet quasi-religieux).

Et Linux traîne malheureusement quand même pas mal de casseroles en la matière, depuis des années...

Pour le citer : "un code ouvert ne remplace pas une architecture robuste (Zero Trust). Il faut regarder au-delà des conceptions idéologiques !"

Dans ses articles, l'auteur met souvent en lumière les différences des modèles de sécurité des OS "desktop" (qu'il préfère appeler "traditionnels") et les OS "mobiles" (dits "modernes").

Contrairement à ce qu'on pourrait penser (moi le premier !), AOSP (la base open-source d'Android) a un modèle de sécurité très robuste, avec de nombreux mécanismes de protection en place (verified boot, sandboxing strict des applications, chiffrement, privilèges restreints, CFI, ...). Si vous y couplez un hardware bien conçu et qui prend ces considérations en ligne en compte, en proposant par exemple une enclave sécurisée moderne (comme les Pixel), alors vous avez probablement l'un des OS les plus sécurisés (grand public) à l'heure actuelle !

Les plus gros problèmes des distributions AOSP (autrement dit, des ROMS Android) sont l'omniprésence des services de Google et des mécanismes de protection activées ou implémentées au bon vouloir du fabricant/développeur... Cela vaut aussi pour le matériel.

Dans les faits, on se retrouve alors quasi-exclusivement avec des Android peu sécurisés, bavards et trop rapidement abandonnés.

Et n'allez pas croire que les ROM alternatives, customs (LineageOS, /e/ et consoeurs), sont forcément mieux loties : https://wonderfall.space/modele-securite-mobile/ (à lire absolument)

Elles sont souvent "très négligentes" au sujet du modèle de sécurité d'AOSP, car "se contentent souvent de "fonctionner" à tout prix plutôt que d'être conservatrices du modèle de sécurité."

Sans oublier qu'une ROM custom à jour ne signifie pas forcément qu'elle bénéficie de toutes les mises à jour de sécurité pour l'appareil. Oui, c'est trompeur...

Selon l'auteur, le combo idéal est un Pixel (pour la partie hardware) + GrapheneOS (pour la partie software, avec ou sans les services de Google), dont j'ai partagé l'article de présentation et d'explications il y a peu.

GrapheneOS est un OS mobile basé sur le code source d'Android (AOSP) visant à renforcer la sécurité et la vie privée !

À cette fin, il est dépourvu des services de Google (mais on peut les installer) et bénéficie de nombreuses mesures de renforcement de la sécurité, très bien expliquées dans cet article.

Actuellement, cette "ROM custom" ne fonctionne que sur les Google Pixel, qui sont, contrairement aux apparences, des appareils bien conçus d'un point de vue du matériel et de la sécurité :

• Au moins 3 ans de mises à jour majeures et de sécurité ;
• Possèdent un IOMMU configuré strictement (isolation baseband) ;
• Possèdent une enclave sécurisée moderne ;
• Permettent de verrouiller le bootloader avec OS et clés custom ;
• Etc.

Ils représentent ainsi une base solide pour le projet !

Comme mentionné, il y a la possibilité d'installer les Play Services de Google dans GrapheneOS, de manière sandboxée (installation et désinstallation comme n'importe quelle application) et par profil utilisateur : https://wonderfall.space/grapheneos-play-services/

D'ailleurs, l'article m'apprend l'existence de ce site communautaire qui répertorie les applications Android et dans quelle mesure celles-ci fonctionnent sans les services de Google ou avec l'implémentation microG : https://plexus.techlore.tech/

Je suis franchement impressionné et je ne fais que survoler les atouts de GrapheneOS.

Lisez cet article, de qualité, même si vous ne possédez pas de Pixel. Perso, ça me donnerait presque envie d'en acheter un rien que pour pouvoir utiliser cette ROM 😋

La plateforme MesVaccins.ch, maintenue par une fondation sous mandat de l'Office fédéral de la santé publique, était un carnet de vaccination dématérialisé accessible en ligne. Elle a été beaucoup mise en avant par les professionnels de la santé.

En mai, patatras : grosse fuite de données (450'000 données de vaccination librement accessibles), le site a été fermé prestement par les autorités. Des graves manquements en matière de sécurité ont été constatés. La fondation promet dès lors de travailler d'arrache-pied pour corriger les failles.

Fin août, on apprend que la fondation jette l'éponge par faute de moyens financiers. Pour les utilisateurs, c'est la douche froide et l'incompréhension : impossible d'accéder à leurs données, pas plus que d'en demander la suppression, et ce de manière probablement définitive !

Petite pensée émue à celles et ceux qui ont fait numériser leur carnet vaccinal et n'en ont plus aucune trace ailleurs... Par chance, j'avais gardé mon carnet papier en souvenir.

À la lumière de ces événements, je me questionne :
• N'auraient-ils pas pu éviter bien des problèmes et mésaventures avec une solution libre ? Avec l'aide la communauté, les failles auraient pu être comblées sans risquer la faillite (ou découvertes bien plus tôt)...
• Pourquoi n'est-il pas possible d'accéder aux données ? Même un bête dump ferait l'affaire dans la situation actuelle... Est-ce une contrainte juridique ? Mise en faillite = actifs sous saisie.
• Honnêtement, ça coûte si cher de développer et de maintenir une plateforme pareille ? Quel était leur budget ?
• Pourquoi la sécurité n'a-t-elle pas été prise plus au sérieux ? Qu'est-ce qui rend les correctifs onéreux au point de devoir abandonner ?

Les problèmes avec PGP et pourquoi il ne devrait plus être utilisé (je ne peux décemment pas donner tort à l'auteur concernant la complexité d'utilisation et de compréhension de ce système).

Une réflexion intéressante sur les mails chiffrés (PGP) dont l'auteur affirme qu'ils ne seraient qu'une chimère, une fausse solution.

L'association néerlandaise de défense des consommateurs Consumentenbond a testé le déverrouillage par reconnaissance faciale de 66 téléphones.

Bilan : 32 ont pu être déverrouillés avec une simple photo portrait de l'utilisateur !

Article traduit : https://translate.google.com/translate?sl=nl&tl=fr&u=https%3A%2F%2Fwww.consumentenbond.nl%2Fveilig-internetten%2Fgezichtsherkenning-te-hacken

Les informations personnelles de toute la population d'Équateur (16.6 millions de personnes) ont fuité !

Cela comprend les noms, prénoms, adresses, dates de naissance, téléphones... mais aussi les niveaux d'éducation, les emplois, les informations de l'employeur, les salaires ou encore les montants actuels des comptes ! Bien plus qu'il n'en faut pour usurper une personne ou lui nuire.

L'arnaque au président aidée par l'intelligence artificielle (deepfakes).

Près d'un tiers (30 %) des principaux fournisseurs de VPN dans le monde appartiennent secrètement à six sociétés chinoises, tandis qu'une grande partie des autres sont localisés dans des pays où les lois sur la protection de la vie privée sont laxistes ou inexistantes.