IPB

Bienvenue invité ( Connexion | Inscription )

2 Pages V  < 1 2  
Reply to this topicStart new topic
> Certains Google Home mini enregistrent en permanence, Réactions à la publication du 11/10/2017
Options
RaelRael
posté 12 Oct 2017, 12:55
Message #31


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 266
Inscrit : 5 Sep 2005
Membre no 45 180



Citation (McCaron @ 12 Oct 2017, 08:53) *
maintenant j'ai un gros doute sur le chromecast, j'espère qu'il n'envoie pas à Google toutes les infos sur ce que je caste sur ma télé confused5.gif


Ba j'ai envie de répondre, évidement que si
Go to the top of the page
 
+Quote Post
uhflirug
posté 12 Oct 2017, 13:15
Message #32


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



Un iphone ou un macbook ca a un micro, une camera et c'est connecté à internet en permanence.
Et ca n'a pas d'interrupteur, et tout le monde s'en fiche à part Zukerberg qui a du avoir une illumination d'un jour, et qui a mis inutilement du scotch sur son micro.
Sans compter que google et orange pistent tout le monde avec la localisation par antenne 3G, wifi, bluetooth et indoor,
Qu'apple surveille toutes les 5 minutes l'identité de l'utilisateur (via le empreinte digitale)
Que les même on aussi tout l'historique intégral en temps réel de navigation web (ou non web) via les DNS (type FAI ou 8.8.8.8), tous les sites consultés en temps réel (de santé, porno, etc)
Que les même ont accès à 99% des contenus des emails échangés. Car en France, ll y a 50% de chance que l'un des expéditeur/destinataire soit sur gmail, donc 75% que l'un ou l'autre y soit, plus le fait que les emails transitent sur leur relais..
Que tout le monde sait qu'il ne faut pas donner son numero de cb sur internet ni photo de son passeport, mais tout le monde le fait, vu que la eCB, ca n'a pas pris alors que tout était la pour que ca fonctionne par exemple, airbnb a copie de passeport et fait authentification par face recognition à la apple aussi
Que de plus en plus publient leur photo sur le cloud des gafams et donc comme pour les emails, cela inclut les images de ceux qui n'utilisent pas ces services qui sont reconnus (comme facebook qui tracke les non clients de facebook avec les cookies). Que google a sorti sa camera loglife connectée qui regarde h24 dont l'usage est exactement celui du film The Circle 2017.

Et il n'existe aucun moyen d'y échapper car tout est sur internet, y compris toutes les administrations et services obligatoires (comme le service de vignette auto de l'état qui utilise le captcha de google qui impose au client de donner a google son numero d'immatriculation, et de travailler pour google à reconnaitre des voitures, des panneaux et des devantures de magasin ), et pas la peine de passer par tor non plus, si c'est pour envoyer un message à un utilisateur gmail.

Bref, je trouve ca triste que macbidouille se fasse l'echo de ce genre de nouvelle qu'un micro écoute ici ou là, car cela met dans la tête des gens que sinon, normalement, ailleurs, tout marche bien, et toute confidentialité d'un message est bien protégé, qui plus est, en publiant une maj pour préciser que non même pas, tout allait bien.

La bidouille n'est plus de gagner 10% d'overclock par ci pour là.
Alors quelles sont les bidouilles pour éviter tout ca avec son mac ? ca devrait être ca le sujet. Et là on y pas du tout.
Go to the top of the page
 
+Quote Post
SartMatt
posté 12 Oct 2017, 13:37
Message #33


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 28 663
Inscrit : 15 Nov 2005
Lieu : Au pied des montagnes
Membre no 49 996



Citation (uhflirug @ 12 Oct 2017, 14:15) *
comme le service de vignette auto de l'état qui utilise le captcha de google qui impose au client de donner a google son numero d'immatriculation
Juste une réponse sur ce point : ce n'est pas parce que le captcha de Google est utilisé que les données du formulaire sont transmises à Google hein... Le système de captcha fonctionne de manière autonome par rapport au reste du formulaire.

Suffit de regarder dans la console réseau du navigateur pour voir ce qui est transmis et à qui : le numéro d'immatriculation est transmis uniquement au serveur certificat-air.gouv.fr


--------------------
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." - Proverbe Shadok
Go to the top of the page
 
+Quote Post
uhflirug
posté 12 Oct 2017, 19:24
Message #34


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



Message original de uhflirug :
====================================
Citation (SartMatt @ 12 Oct 2017, 14:37) *
Suffit de regarder dans la console réseau du navigateur pour voir ce qui est transmis et à qui : le numéro d'immatriculation est transmis uniquement au serveur certificat-air.gouv.fr


moi, je vois dans la console network que ca envoie à google dans une 15 aine de variables le texte ci-dessous.
Alors je ne vois pas comment avec ça on peut verifier si il y a le numero de la plaque d'imatriculation la dedans ou pas !!!!
Sans compter les meta data (date à laquelle la variable est appelée, etc..) qui permet d'encoder plein de choses aussi dedans.

k=6LdtcyMTAAAAAK0uIDosXsrguWqX9M1NsoMdrKRf
NID=114=xKjAFCloSlJw-uTS_8pq4BKTOxZ-YEhGoJSTGFe4VJ7Ub8pWUVghOQHDmrQSKH67A4eM1aG0T_7G6xDE4bvMwtYNRLdv1-6LbffK87NeNWjJq6OdlB5IVw8aP6pEFkmZ;
v=r20171003155951&k=6LdtcyMTAAAAAK0uIDosXsrguWqX9M1NsoMdrKRf
03AJzQf7OFxKeZ8ZxFDbwMwwkr9IwjvtHjvWmskSAAdHAYqCmpyJ6Hav_KFgG6no5VukcId30Qiac8wB
4q0PpvQwzCdP8hxnb7NcXPx1L74jBjVaTQ0ECP6bXRqEevTlPuhkrPLDFII0yPbkDh5Lzv9Dg39GrE5q
4
ZTzlbZuNuJnVFzg1rNmoFcAprCAolwYruXDEBe-fTn0s4NEvPzr83J8BSc3jrXkS2zb6AhC1IrGwaP2AZQevF23EodGSdzqhOH0m4FHfjerSmqOCpcwSp2O
eYtWz7sWCYx8xPISMy53F6Z6sRZCF6gthpNuBtbBDPKNcY1nmwyzTpJ-Q9HEhkp4BEcdcZr4wiWp0p30ez-Pcubu0xYbp2re0ZqIk3IIoW6BGlslTt-pGXrjb3S_sRK2y8uWUp1iBNJxZPgpMmGadpoQd8BHYKjD1WShQR7v9YUj5JJwU2YggH
!YGagZkdHhykmnjLJy6VB63co0wmoeckHAAAAO1cAAAB_nAUgOR4a3Z28sXBjs7OJjYa9jHC9Ge3U
cTbnThTWx5vsIwvQYdk4hGyLz3O1Psg27N2JVL04k__DBRhSfBJCsM761Y6Dtq41GebPF2-UXIbMzkXAG6LUs0t6JU_S74YzY_OA7caPyrzZ6-75EdIXA8e2R234xiLOiTmRoaey_9GqLY3hGEgOQuxjEdUAzR5KjruPI-04wj1B8gkoho5FNGFEbk9bLZFypj07oz6SfkJXMo72fSfmWyeUsTeWtWMaTvuTJtDtY54U9rWcvZp2lm
SPhmaLKvovTomsYsDjeanmvWb-P2ydKByIhMYV8CpoojR8qnoREpjnR6Odc9s8Nv2yE2m3yAbKWfnWu8AKEHMkvuiad8YBlb3O1FtjsCD2
pjYYPt844QgnxjYjyNGOYVtxxfvnhceaNC9qDN8miIFLcrks5_kUk6QdvIwn9weiJbceAb9sKned5WV2
O
BwvFUcM0MN2EXyB6NVEy96gCFkcVfHT2AoHeLGkbNnGyuE7zfD1lcSLdkI6CjQL_gggBzTedxYtdPulQ
d
h_ky8X84WSoU3-Oh8a8MQeDZEcv46ly9w4gv_MHnG02s30z2SDduyaFD5vzh8eXs-gYNy5ZpmiWjtRMSkrYCcTUr_B5hyfxTaNUETx1OBT57ezzNOfr5r3De_-TqyeA1Q8af65XBSr4hyDN4SXAydw_hgSQaB7-OR_sWbXha_q4ACf5XpKFIaCtOkiWCGCN_2WMFb1Ybb-z619O6hAPF8TYpqiA4tfbve5zepAF33mMqNyo-GdA4amPT9ZsEgvSONnMz7feqvxVbd1jo9-m6MEnyav03wGnmXIHBXOEScbsayyh81aFjznKDMF8_A48nxyOUyz9F4iWrHp2_o4cWU-rdCZdtUON8FPuJAnpeaBAzWeJesu5Df9xyHPfSx_zKV25OFvRuC5_c7kd45uao7XPT0K-BcwGYI8YPzwA68DKCe3n0ZcoGnuAujash8bOqC0VHDSrtsZ59O0W0AfKg03vc3HThTCm7siUqhbSLsKw
69LCY4F941_wMfa1HSKs9j1mXDeYKGVOuQiml4LOlNX0ks0eC3y3ztic_STbB99e3t5i9p-dFz8BH3kjBCNwMpbTwmSWJbC30WbQ6w-pR5uSyw9u5Pr7q93rq5jogW-_TUlYb5psFdQ-Ot4tQOoN4w77xmaGNpDf0KNCyMcV47ylxaU17qzUyciUZF9AUyz7_wTpVxk1v1qXh11Kha_Pc36h2Xjh
JKQlH3eJn_0jyxW-THYqlXym0B7zczGejqazWrx7EpSeubGY445u0owtf6DPugf9KNu89BJBTEXhSPZ63xkruZtFJ_Lsh1PX
qn6Uyg2PcPiCFJy5jL-VyaHNMXQ2NCdYUR43s0e5tnNjRjNbjRs5oVhg7emIEV1eoAOK56SP3vR3xCU18bymI7mlBlAgYrS5Fz1
Aa52_emekqKb2erc5QVWTpyFPnlKfuLsI1wvfbGRnGBfp2W_9G5YQMPZyYZWJgxfN3d7hhBUbQ6zB_O-dP5UCTGJDE3tLACpDFxIWxKjSQMG61vX_KCpYEEvtkPgrYuqkPZyA3qQc1eZrwSwjtQHpHWzLi3nGbX7-hoT9mQF7bxtVdexhEzLSlLpyFYfL-ldelzIaP2rljAjlm76VNx94rG2iAEFFLpZcnPE31sJ_bbsofV2XXZ4YbJWjDz13eVIL_4rDrE7K5aKrA
PZxtD8kdA6pmb9oRw1vypkkSCtmHbcpA
r20171003155951
RxZJdnzeo3R5zSexge8UUZBw1xU1rKptJj_0jans920
&v=r20171003155951&k=6LdtcyMTAAAAAK0uIDosXsrguWqX9M1NsoMdrKRf
/5-d2-ZBzo-CaK7X3xYiDTgo-9Y2WoT2Pw5IN2Nh3gQ0
c=03AJzQf7N8k8l8l1VcxWXyyM0TeRvT4-Aj3IjDvTB1vt3VLfUD-5bugT_p7pxGb2W0Gt-c5up75I7biDJNdRg8R680soSgFcCaqNUwh7rcSgouYOfBF907sLoajZ10L8q3CZI0ZmoFrzxXnnCDbqc
HIfIWfVjtcsTviu6lI9ySoN5eBcT4WDzy-CYtUmTJDtslSmSVU8HKLAM-XYtNubwhBw49x73glp21df938bd_6aOIAGlbfZXBpXJQnN_V8sCBmuxbnJR1leTGTrIjFu_uRSXaqYQe
G0mn6_LO7cvyj2R_BEg0rU7QckGAh7gbEOJI1DdmCUXhx-61pTsIj-nAr6SvrODI_h9M9cDzCIZIbxtScU18DLXO4FDEeiU51Lmz7QvGI7NtuuEFT5Iq2409WhjfHfb1xox5PY
NDueVloB7CyXOy10ZhDRpbed0T06xB_spvrdXk6-0aXU5bevF8VMximP2fIjPYgPSWBKly2l-0V2yta_PzfKoQx62ncDL9wKPiuzuotSbe4aIm6Mu3vMTXQZH6-03rXttp1vZ5Zq7f5uHNZbmjIqzZ1JC-Q56qcNhYX3r7Fup9x1BF6CA7yTGORPyRcmcoCdUCtiqAhyYd7mfEuYkfoOyMAOouN_EDKnNbRF1FD3O4
BUH96PvzTplChvGv2Cjs9xOB3Yh4WbaTkAhmwiehX0IpAXNHZTGW5BVVgHvUp--er48NFSin3lLYJDMJnp9GD0ZRf-SQsIGrWnm-ixHn1z73S-FYh7Cp472JDpzCgqiyodQxq3Cch4_MDypuA-unGeE-d9_02Md74tJhiM7ms13662uppxH03k_1NaKnt5j5bFIv2A7m32lBu9NTKNLNpdD3GX4o1qk7qZDGnon5
Mest0qcS0Egn1RkYrGZ7dxdDWLjTLvDXZHP2H3s9H-XeYgfROvGnHmtuhZIq6rO1_eCocyj0k8aZC0m5YU7BgDMR4rv9op_alokuV5gkAtCq6nEfaiFEKGVebr
7nUmwE_1qVBegj4-0q20RswX1rdc6prnXw5juDNMGpAcoNr1MwxAQaJ90ey-xcHIQgEJiOtNZLzt2t-tcXB-d6mXgbDzjAsp8fmBIGO4dZY1MWqAnMNDMqVyDDmrmDiciZyRO8sr7-BBvtx4eyKpTgaSWeysKii7PXqugGd4iHOFYiTazvCw&k=6LdtcyMTAAAAAK0uIDosXsrguWqX9M1NsoMdrKRf
NID=114=xKjAFCloSlJw-uTS_8pq4BKTOxZ-YEhGoJSTGFe4VJ7Ub8pWUVghOQHDmrQSKH67A4eM1aG0T_7G6xDE4bvMwtYNRLdv1-6LbffK87NeNWjJq6OdlB5IVw8aP6pEFkmZ
====================================



Réponse de SartMatt ayant accidentellement écrasé le message original :
====================================
Google va pas s'amuser à mettre dans le code JavaScript de son captcha quelque chose qui va aller analyser le contenu de la page pour repérer les champs de formulaire et envoyer les données à Google. Parce que ça serait très vite repéré par les chercheurs en sécurité qui analysent ce genre d'outils.

Et le seul moyen de récupérer les données d'un formulaire sans faire de JavaScript, c'est en étant la destination lors du submit du formulaire. Or le submit du formulaire est bien fait vers le serveur Critair, pas vers un serveur Google.

En plus, si Google veut récupérer les immatriculations des Français, il peut prendre directement un accès au fichier des immatriculations, que l'État commercialisé... Ça sera plus simple et plus fiable que de tenter de hijaker les données de Critair via le captcha...
====================================



Réponse de uhflirug :
====================================
ici uhflirug qui répond à uhflirug ci dessous, et comme c'est moi sans être moi, je le fais directement dans le message.
:-)

^^ Il faut penser par soit même. <<Les>> dits chercheurs en sécurités sont incapable de comprendre ce qu'envoie google justement et google ne communique pas sur le sujet. Il en est de même pour tous les gens dont la motivation ne serait pas la recherche en sécurité mais de gagner beaucoup d'argent et qui << analysent ce genre d'outil >>.
====================================

Ce message a été modifié par SartMatt - 12 Oct 2017, 21:37.
Go to the top of the page
 
+Quote Post
uhflirug
posté 12 Oct 2017, 19:42
Message #35


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



J'ai répondu poliment au petit chat au nez rouge (désolé dans cette interface je ne vois plus le nom et j'ai oublié), mais la question principale n'était pas là.
L'état français ne se cache pas de toute façon de tout donner aux GAFAMS. Ils l'écrivent dans des textes publics.

Une consigne de la Direction du numérique pour l'éducation (DNE) du ministère de l’Education nationale a demandé à mettre à disposition des géants du Web les données personnelles et scolaires des élèves et des enseignants.

Depuis 1 semaine avant les élections présidentielles donc, le ministre dit qu'ils vont étudier cela et que ce n'est pas normal et qu'ils allaient faire quelque chose, mais en attendant, les GAFAMS ont déjà eu tous les prénoms et les noms de familles, (car sur la question des pseudonymes, ils ont dit que ce n'était pas la peine d'en utiliser), profs, classe, notes etc.

Le systeme APB d'orientation post bac, dont ni l'algo ni le code source n'est public (ou sauf en quasi crypté incompréhensible de personne) pour peu que ce soit lié à la question précédente par une sorte de boucle de rétroaction, histoire d'orienter par ici ou par là, les élèves avec telle ou telle caractéristique, qui peut s'il y a une couche d'IA, tout a fait prendre en compte des critères racistes ou n'importe quoi d'autes (comme ca a été prouvé dans le cas des algos de prévention du crime etc) vu que personne en comprend les critères retenu par les IA pour faire leur clustering.
Go to the top of the page
 
+Quote Post
uhflirug
posté 12 Oct 2017, 20:34
Message #36


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



^^ cher homonyme de compte, uhflirug, je t'ai répondu plus haut dans le message directement. smile.gif

cher starmatt, je t'ai répondu ici au sujet des données envoyées par google de plusieurs ordres de grandeurs plus significatifs que la plaque d'immatriculation, mais le message a disparu. d'ailleurs, mon homonyme y a répondu. Bref, si tu peux consulter l'historique des messages supprimés, il doit y avoir ma réponse à Starmatt.


Edit par SartMatt : j'ai réparé mes conneries ci-dessus (voir message #41), encore désolé sad.gif

Ce message a été modifié par SartMatt - 12 Oct 2017, 21:41.
Go to the top of the page
 
+Quote Post
baron
posté 12 Oct 2017, 20:44
Message #37


Macbidouilleur d'Or !
*****

Groupe : Modérateurs
Messages : 10 756
Inscrit : 22 Jul 2004
Lieu : Louvain-la-Neuve (Gaule Gelbique)
Membre no 21 291



Citation (uhflirug @ 12 Oct 2017, 21:34) *
[…]
J'adore le concept de compte partagé par plusieurs utilisateurs. Typiquement dans ce forum il y a une autre personne qui partage ce compte avec moi. Car le moi qui ecrit ce message n'est pas le moi qui en a ecrit un plus haut. J'appelle ca un homonyme de compte, mais je suis curieux de savoir quel est le bon mot pour qualifier les divers personnes qui partageraient un même compte.
[…]

Ton autre toi-même emploie la même adresse IP que toi et les mêmes identifiants, alors mettez-vous d'accord entre vous. dry.gif

(En passant, je t'engage à la lecture de cet ouvrage : https://www.babelio.com/livres/Keyes-Les-mi...-Milligan/31959 — mais ce qui est drôle là n'a pas sa place ici… whistle.gif )


--------------------
MacBook Pro 15’’ 2010 Core i5 2,53 GHz, 4 Go/500 Go – Mac OSX 10.6.8
MacOS 9.1 — G3 beige de bureau, rev.1 @ 233MHz, 288 Mo/4Go + carte PCI IDE/ATA Tempo 66 Acard 6260 avec HD interne Maxtor 80 Go + graveur interne CDRW/DVD LG GCC-4520B + tablette A4 Wacom UD-0608-A + LaCie ElectronBlueIV 19" + HP ScanJet 6100C
Routeur/modem ADSL Trendnet TW100-BRM504 > B-Box 3 + HP LaserJet 4000 N
¶ La recherche dans MacBidouille vous paraît obscure ? J'ai rédigé une proposition de FAQ. Le moteur logiciel a un peu changé depuis mais ça peut aider quand même.
Les corsaires mettent en berne…
Go to the top of the page
 
+Quote Post
Hebus
posté 12 Oct 2017, 20:53
Message #38


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 3 209
Inscrit : 24 Sep 2015
Membre no 196 570



laugh.gif

Il est une bande à lui tout seul...

Quelle lutte intérieure !
Go to the top of the page
 
+Quote Post
uhflirug
posté 12 Oct 2017, 21:05
Message #39


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



et pourtant elle tourne. comme on dit.

Ce n'est pas gentil de tourner en bourrique un jeune utilisateur naïf.

Le message 34 je l'ai édité après, mais je ne l'ai pas créé. Par contre j'en avais créé un autre qui a disparu et que j'ai reposté après.

Ce message a été modifié par uhflirug - 12 Oct 2017, 21:06.
Go to the top of the page
 
+Quote Post
CPascal
posté 12 Oct 2017, 21:17
Message #40


Adepte de Macbidouille
*

Groupe : Membres
Messages : 226
Inscrit : 15 Nov 2016
Membre no 200 314



Citation (baron @ 12 Oct 2017, 21:44) *
Citation (uhflirug @ 12 Oct 2017, 21:34) *
[…]
J'adore le concept de compte partagé par plusieurs utilisateurs. Typiquement dans ce forum il y a une autre personne qui partage ce compte avec moi. Car le moi qui ecrit ce message n'est pas le moi qui en a ecrit un plus haut. J'appelle ca un homonyme de compte, mais je suis curieux de savoir quel est le bon mot pour qualifier les divers personnes qui partageraient un même compte.
[…]

Ton autre toi-même emploie la même adresse IP que toi et les mêmes identifiants, alors mettez-vous d'accord entre vous. dry.gif

(En passant, je t'engage à la lecture de cet ouvrage : https://www.babelio.com/livres/Keyes-Les-mi...-Milligan/31959 — mais ce qui est drôle là n'a pas sa place ici… whistle.gif )

https://youtu.be/-NTZ2ITsfGo tongue.gif


--------------------
Go to the top of the page
 
+Quote Post
SartMatt
posté 12 Oct 2017, 21:27
Message #41


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 28 663
Inscrit : 15 Nov 2005
Lieu : Au pied des montagnes
Membre no 49 996



Je confirme qu'il n'a pas écrit le message 34. C'est moi qui ait merdé, j'ai répondu depuis mon smartphone, j'ai cliqué sur le mauvais bouton ("Editer" au lieu de "Citer") sans faire gaffe. Ça m'était déjà arrivé sur mon PC aussi, mais j'ai du coup mis une "protection" en installant uBlock pour supprimer le bouton "Editer"... Ce qui n'est pas le cas sur mon smartphone...

Le message d'origine que j'ai édité par erreur est celui que uhflirug a reposté à 21h34 (3 dernières lignes de text + le blob en base64).

Désolé sad.gif sad.gif sad.gif sad.gif sad.gif

Je vais rééditer les messages pour redonner un peu de cohérence à l'enchainement...

Citation (uhflirug @ 12 Oct 2017, 20:24) *
^^ Il faut penser par soit même. <<Les>> dits chercheurs en sécurités sont incapable de comprendre ce qu'envoie google justement et google ne communique pas sur le sujet.
Ces données, elles sont générées par du code JavaScript. Code JavaScript qui est du code interprété, exécuté localement sur le poste client.

Bien entendu, ce code est minifié, ce qui le rend difficile à lire. Mais pour un spécialiste qui voudrait l'analyser, c'est très très loin d'être insurmontable. Sans doute une affaire de 1 ou 2 journées de travail pour arriver à sortir un code exploitable.

Éventuellement Google pourrait avoir poussé loin en faisant un code compilé, exécuté dans une machine virtuelle écrite elle même en JavaScript. Mais non seulement, même comme ça ça reste analysable, mais en plus, le simple fait qu'ils fassent ça pourrait lever des soupçons... Et en regardant les sources ça a pas l'air de cas, je vois pas de gros blob binaire dedans, juste du code JavaScript minifié : https://www.gstatic.com/recaptcha/api2/r201...ecaptcha__fr.js

D'ailleurs, sans même analyser le code JavaScript lui même, c'est possible de voir si il accède au non au contenu des formulaires des pages : il suffit de prendre les sources d'un navigateur open-source, d'ajouter des traces lors des appels à certaines fonctions de son API JavaScript, de recompiler le tout puis d'exécuter le code de Google dans ce navigateur. Je serai pas surpris d'ailleurs qu'un Firefox compilé en mode debug intègre déjà ce genre d'outils de traçage...

Vérifier que le code du Captcha ne va pas aller lire les données du formulaire, c'est sans doute l'un des premiers trucs que des chercheurs en sécurité auront vérifié, vu que si il fait ça, ça veut aussi dire accès à tous les logins et mots de passe sur les sites utilisant le captcha comme protection anti brute-force...

Vraiment, Google n'a aucun intérêt à s'amuser à ça. Ça se saurait très vite et Google aurait énormément à y perdre. Et surtout pas pour accéder aux plaques d'immatriculation de quelques millions de français, alors qu'ils peuvent avoir accès à l'intégralité de la base de données moyennant quelques dizaines de milliers d'euros...

Ce message a été modifié par SartMatt - 12 Oct 2017, 22:09.


--------------------
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." - Proverbe Shadok
Go to the top of the page
 
+Quote Post
uhflirug
posté 12 Oct 2017, 22:46
Message #42


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



Excellent. Merci pour ce moment. J'ai bien rigolé.

Bon, en fait Starmatt avait commencé son message 41 sans les 4 premiers paragraphes, et donc directement par la citation puis l'a commenté. Et donc moi j'avais commencé à écrire ce message. Alors je ne sais pas si il a encore du sens, alors je vais faire comme star mat, et écrire le message en barré qui aurait été écrit s'il ne l'avait pas modifié ensuite en se dénonçant.

Baron, je vois dans ta signature que tu sembles spécialiste en recherche de messages. Pourrait on chercher les messages qui sont écrits avec Javascript ecrit avec un J et un S majuscule, et avec des phrases négatives mais sans le 'NE' dans 'ne...pas', comme dans << Google va pas s'amuser >>.
Remaque, il est fort probable que ce soit quelqu'un qui ait déja ecrit dans un thread qui réécrive dans un thread.
On peut aussi analyser ce que les phrases disent de la personnalité de son auteur.
Ecrire JavaScript avec un J et S majuscule, il faut avoir envie de donner des leçons d'informatiques et adorer se conformer à l'informatique presque divinement, surtout que il n'y a pas de NE dans ses phrases négatives, donc pas vraiment un littéraire, mais juste un trop grand fan d'informatique. << Google va pas s'amuser >>, il manque un 'NE'.

Puis un peu plus tard:

Ah Voila c'est Starmatt. [Quand j'ai écrit çà, Starmatt avait ré-écrit, mais ce n'etait pas encore dénoncé]. Il ré-écrit avec la syntaxe JavaScript et dans le meme thread, et aussi avec le même argument du: 'si google était vilain, ca se saurait'

Bon et puis finalement, Starmatt s'est rendu compte qu'il était à l'origine de tout cela.

=========

Bon, je ne sais pas si il y a encore des lecteurs ici, et si ces lecteurs ont encore confiance, dans le fait que l'auteur de ce message est moi ... ou mon homonyme Starmatt qui édite les messages avec des =====


Donc l'argument Starmatt, c'est deux fois le même. mais en générale, tes posts pointent toujours vers une reference bien à propos. Là non. Moi je n'ai trouvé que des 'rumeurs' qui expliquent comment marche la case à cocher de google 'je ne suis pas un robot'. La grande majorité de ceux qui ont fait des tests, disent que le script prend une capture de l'état de la page web (scroll, position de la souris, lettres tapées au clavier..) et qu'il analyse si c'est humain comme comportement. Et bien moi capturer les lettres tapées au clavier j'appelle ca justement capturer le contenu d'un champ de formulaire !.
Quand au fait que google ne peut pas etre vilain au point de pouvoir enregistrer les mots de passe d'un utilisateur, mais cela est deja fait avec tous les sites, (dont macbidouille) qui n'utilise pas le httpS. Et pas besoin d'être le destinataire comme dit pas erreur plus haut, il suffit d'être sur le chemin entre les deux ordianteurs. Autrement dit il suffit d'être un FAI pour ca. Et personne ne crit au scandale. Donc aucune raison que quelqu'un crie au scandale du fait que google puisse ainsi capturer les contenus des formulaires. CQFD Et c'était justement le sujet de mon premier message dans ce thread, tout le monde s'en fiche. Et En relayant le fait que google n'enregistre plus en permanence sur son micro connecté, ca induit en erreur le lecteur de macbidouille. Et c'etait ca le sujet à l'origine de mon message !
Bon il faut avoir la Foi comme dit Starmatt dans les Gafams .. et il n'y a pas de bug, ni de mal-intention, juste des clic qui se font sur des boutons où il ne faut pas avec un smartphone ou truc uBlock.

======== <- là ce sont des égales, pour rigoler encore un bon coup et se rappeler comment ce message a finit par être ridiculisé avec des hobits sur youtube , et qu'on en a oublié le message principal d'origine. Exactement comme google a fait oublié que il enregistrait tout, toujours, et encore maintenant (sites visités, mots de passes des formulaires...), en disant que le bug avait été réparé.

Enfin, bien entendu Google n'a pas développé son systeme de captcha juste pour récupérer une liste de plaques d'imatriculation, mais c'est comme la pêche au chalut. Il y a ça aussi dans le lot. Et cet exemple avait été cité non pas pour donner la motivation de google a developper ce systeme de captcha, mais pour illustrer le fait que l'état donne obligatoirement toutes les données aux gafams.

Allez hop, des petits ============ pour dire que là c'est peut être l'homonyme qui écrit :-) Si quelqu'un a compris quelquechose, bravo !

Go to the top of the page
 
+Quote Post
baron
posté 12 Oct 2017, 23:10
Message #43


Macbidouilleur d'Or !
*****

Groupe : Modérateurs
Messages : 10 756
Inscrit : 22 Jul 2004
Lieu : Louvain-la-Neuve (Gaule Gelbique)
Membre no 21 291



[Hors-sujet] Toutes mes excuses aussi, uhflirugmellow.gif

(Et bravo pour ton analyse textuelle quant à l'auteur putatif. wink.gif
Cela dit, non, les outils du forum ne permettent pas (plus) des recherches aussi poussées.)

[Fin du hors-sujet]
Go to the top of the page
 
+Quote Post
SartMatt
posté 12 Oct 2017, 23:13
Message #44


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 28 663
Inscrit : 15 Nov 2005
Lieu : Au pied des montagnes
Membre no 49 996



Citation (uhflirug @ 12 Oct 2017, 23:46) *
Et bien moi capturer les lettres tapées au clavier j'appelle ca justement capturer le contenu d'un champ de formulaire !
Non, ce n'est pas la même chose. Capturer les saisies au clavier, c'est un ensemble de caractères en vrac, sans aucun contexte. C'est quasi inexploitable, car on ne connait pas la signification de ces données.
Capturer des champs de formulaire, c'est cibler précisément des données, avec cette fois un contexte, pour pouvoir les exploiter.

De plus, le fait qu'il capture les frappes n'implique pas pour autant qu'il les transmette toutes au serveur telles qu'elles. Il fait des traitement en local en fonction de ces frappes, et le résultat final de ces traitements est transmis au serveur pour déterminer si ou ou non le captcha a eu affaire à un robot ou un humain. En regardant vite fait le code de reCaptcha, on voit plein de manipulation sur des .keyCode, donc effectivement, la récupération de l'identifiant de la touche pressée, mais derrière, il les utilise dans des additions, des soustractions, etc... ce qui fait perdre l'information brute, sans trop de possibilité de la retrouver (attention, je précise que j'ai pas étudié le code en détail, donc c'est possible quand même qu'à un autre endroit dans le code il récupère et stocke les saisies brutes... mais j'en doute, ça a échappé à mon survole rapide du code, ça n'échapperait pas à celle d'un spécialiste habitué à ce genre d'exercice).

Citation (uhflirug @ 12 Oct 2017, 23:46) *
Quand au fait que google ne peut pas etre vilain au point de pouvoir enregistrer les mots de passe d'un utilisateur, mais cela est deja fait avec tous les sites, (dont macbidouille) qui n'utilise pas le httpS. Et pas besoin d'être le destinataire comme dit pas erreur plus haut, il suffit d'être sur le chemin entre les deux ordianteurs. Autrement dit il suffit d'être un FAI pour ca. Et personne ne crit au scandale. Donc aucune raison que quelqu'un crie au scandale du fait que google puisse ainsi capturer les contenus des formulaires.
Sauf que justement si leur système de Captcha faisait ça, il pourrait aussi récupérer ces données sur un site en HTTPS, et sans avoir besoin d'être le FAI. C'est pas tout a fait la même chose quand même hein, ce serait gravissime s'ils s'amusaient à ça (cela dit, je me demande quand même si le navigateur n'empêcherait au JavaScript d'accéder aux évènement keydown/keypress et cie quand le focus est sur un champ de type password...).

Citation (uhflirug @ 12 Oct 2017, 23:46) *
Bon il faut avoir la Foi comme dit Starmatt dans les Gafams
Non, tu interprètes très mal mes propos là. Je dit pas que j'ai une confiance aveugle envers la GAFAM, mais plutôt que j'ai confiance envers les milliers de spécialistes en sécurité qui eux ne font justement pas confiance aux GAFAM, et vont donc vérifier ce qu'ils font.

Et puisque tu veux des références, voilà par exemple un papier d'une équipe de chercheurs qui a étudié reCaptcha en profondeur pour essayer de le casser : https://www.blackhat.com/docs/asia-16/mater...eCAPTCHA-wp.pdf

On peut raisonnablement penser qu'avec ce type de recherche, s'il y avait capture et envoi des données saisies dans une forme exploitable, ça aurait été détecté.

Il y a aussi celui là : https://github.com/neuroradiology/InsideReCaptcha
D'après son analyse, il y a en fait bien une partie de code binaire interprété, contrairement à ce que j'avais pensé en première analyse rapide, mais en deux jours de travail il a été capable d'écrire un désassembleur/décompileur pour ce code binaire. De son analyse, il résulte que les données capturées au niveau clavier/souris seraient uniquement celles tapées dans l'iframe de reCaptcha (il ne cite pas d'autres captures de clavier/souris, même s'il précise quand même qu'il pourrait y avoir d'autres choses qui lui ont échappé). Donc pas quand le focus est sur un champ de formulaire (le formulaire étant en dehors de l'iframe). Avec le recul, ça semble somme toute assez logique : par sécurité, il est fort probable que le navigateur empêche au JavaScript d'une iframe d'accéder aux évènements ayant lieu dans une autre frame, surtout si elle n'est pas sur le même domaine...

Citation (uhflirug @ 12 Oct 2017, 23:46) *
Et cet exemple avait été cité non pas pour donner la motivation de google a developper ce systeme de captcha, mais pour illustrer le fait que l'état donne obligatoirement toutes les données aux gafams.
Ça n'illustre pas, ça reste une supposition. Tu supposes que Google récupère les données du formulaire, mais tu n'en sais strictement rien.

Ce message a été modifié par SartMatt - 12 Oct 2017, 23:35.


--------------------
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." - Proverbe Shadok
Go to the top of the page
 
+Quote Post
raoulito
posté 13 Oct 2017, 00:04
Message #45


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 509
Inscrit : 24 Jan 2014
Lieu : Casablanca
Membre no 189 026



alors là pour le coup sartmatt, tu as rendu ce sujet parfaitement incompréhensible. biggrin.gif
Déja notre @uhflirug accumule de longs posts, auquel tu reponds par de longs posts, mais alors on a quasiment des "ratures" là avec des posts croisés, corrigés, re "quotés".. dammit de quoi parle-t-on ?


--------------------
  • Du G3 blue&white 1999 1Go de Ram au macbook pro I5 13" 2011, avec 8 Go de ram et un SSD samsung 850 evo.
  • une fois mon vénérable iMac 24 pouces 2006 devenu une TV, bonjour au mac mini i5, SSD 256, 16go de ram.
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P
Macbidouille? Je les suis depuis.. les tous débuts il me semble.
Et çà c'est mon bébé chéri: http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
Go to the top of the page
 
+Quote Post
uhflirug
posté 13 Oct 2017, 00:21
Message #46


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



Tout d'abord merci pour les references.

L'enjeu comme dit dans le document vieux de 3 ans est qu'en comprenant le script de google, est que cela permettrait de contourner le captcha.
<< Programmatically bypass the captcha by interpreting bytecode. >>
Et ca, tout comme tu fais confiance aux milliers de chercheurs pour vérifier que ... on peut aussi faire confiance au millier de hackers bidouilleurs qui n'ont toujours pas réussi à comprendre ce code, car ils ne l'ont pas 'bypassé', sinon ils auraient pu créer plein de comptes partout etc, spam, pub et argent à la clé. Et ca se saurait tout autant.

Oui je n'ai pas la preuve que google enregistre les infos mais c'est possible. Car quand on met un code illisible, comme l'a dit tres bien un certain starmatt plus haut << mais en plus, le simple fait qu'ils fassent ça pourrait lever des soupçons...>> , si on rend le code illisible, c'est pas pour rien, c'est qu'on a quelque chose à cacher.

Et pour moi deja, avoir n'importe quel tracker sur un site en .gouv.fr c'est une aberration monumentale. même un simple <img http://google.com/image> ... alors un truc dans une machine virtuelle java en bytecode .. hum ! Et si je devais programmer le code recaptcha je sais comment je ferais et je sais que j'aurais accès au contenu de formulaire et je sais que ca aurait l'air naturel.

PS certes, il y a du code dans une iframe, mais comme ce code est appelé par du code js par le frame parent, il n'y a pas de problème de cross-site-truc, car on peut imaginer que le code de l'iframe discute avec le code du parent directement.

Quand au calculs qui sont faits avec les keycodes comme j'aime bien ce genre de trucs::
Prenez le mois de votre naissance, multipliez par 2, ajoutez 5 multiplier par 50 ajouter 1753 retancher l'année de naissance et avec le résultat on sait tout :-)


==== hop des ==== pour la route ======

Ce message a été modifié par uhflirug - 13 Oct 2017, 00:25.
Go to the top of the page
 
+Quote Post
zero
posté 13 Oct 2017, 00:29
Message #47


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 10 662
Inscrit : 25 Nov 2001
Membre no 1 397



Citation (SartMatt @ 13 Oct 2017, 07:13) *
Citation (uhflirug @ 12 Oct 2017, 23:46) *
Et bien moi capturer les lettres tapées au clavier j'appelle ca justement capturer le contenu d'un champ de formulaire !
Non, ce n'est pas la même chose. Capturer les saisies au clavier, c'est un ensemble de caractères en vrac, sans aucun contexte. C'est quasi inexploitable, car on ne connait pas la signification de ces données.

C'est complètement faux. C'est en vrac, il faut chercher mais ça donne plus d'info même.

Ce message a été modifié par zero - 13 Oct 2017, 00:30.
Go to the top of the page
 
+Quote Post
SartMatt
posté 13 Oct 2017, 07:43
Message #48


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 28 663
Inscrit : 15 Nov 2005
Lieu : Au pied des montagnes
Membre no 49 996



Citation (zero @ 13 Oct 2017, 01:29) *
Citation (SartMatt @ 13 Oct 2017, 07:13) *
Citation (uhflirug @ 12 Oct 2017, 23:46) *
Et bien moi capturer les lettres tapées au clavier j'appelle ca justement capturer le contenu d'un champ de formulaire !
Non, ce n'est pas la même chose. Capturer les saisies au clavier, c'est un ensemble de caractères en vrac, sans aucun contexte. C'est quasi inexploitable, car on ne connait pas la signification de ces données.
C'est complètement faux. C'est en vrac, il faut chercher mais ça donne plus d'info même.
Ne pas confondre quantité et qualité !

Déjà, vu la faible valeur de données individuelles, le simple fait de devoir y consacrer de la puissance de traitement supplémentaire pour analyser les données brutes et essayer d'en extraire des données exploitables peut rendre l'opération totalement inintéressante sur le plan financier, même quand le besoin de puissance n'est pas énorme.

Ensuite, une fois qu'on a réussi à structurer les données, ce qui reste effectivement relativement facile à faire, sans contexte elles ne valent pas grand chose... On peut reconnaître une adresse mail. Mais s'agit-elle de celle de celui qui a rempli le formulaire ? Ou bien le formulaire lui demandait-il l'adresse mail d'un de ces contacts ? On sait reconnaître une date. Mais s'agit-il d'une date de naissance ? D'une date de mise en circulation d'un véhicule ? D'une date d'achat d'un produit ? D'une autre date ? Etc, etc... Et une donnée mal contextualisée au final c'est pire que pas de donnée...

Au final, face à la masse de données dont dispose déjà officiellement Google, avec des informations de contexte suffisantes pour les exploiter, récupérer ne douce des frappes de clavier sur des formulaires pour tenter d'en extraire quelques données supplémentaires, ça n'en vaut probablement pas la peine, et encore moins le risque encouru si la chose venait a être éventée.

Citation (uhflirug @ 13 Oct 2017, 01:21) *
Oui je n'ai pas la preuve que google enregistre les infos mais c'est possible. Car quand on met un code illisible, comme l'a dit tres bien un certain starmatt plus haut << mais en plus, le simple fait qu'ils fassent ça pourrait lever des soupçons...>> , si on rend le code illisible, c'est pas pour rien, c'est qu'on a quelque chose à cacher.
Quelque chose à cacher, comme par exemple l'algorithme permettant de déterminer si on est face à un robot où un humain. Pas forcément une collecte de données en douce. Le fait d'avoir du code binaire plus dur à analyser lève forcément des soupçons, mais soupçons et culpabilité ce n'est pas synonyme.

Citation (uhflirug @ 13 Oct 2017, 01:21) *
Quand au calculs qui sont faits avec les keycodes comme j'aime bien ce genre de trucs::
Prenez le mois de votre naissance, multipliez par 2, ajoutez 5 multiplier par 50 ajouter 1753 retancher l'année de naissance et avec le résultat on sait tout :-)
Oui, bien sûr, on peut imaginer des calculs réversibles (ce qui, au passage, n'est pas le cas de ton exemple qui peut laisser un doute sur l'année tongue.gif ). On peut tout imaginer si on a décidé que Google est le mal absolu.

On peut aussi être rationnel. Outre les experts en sécurité qui analysent tout ça, il y a une question toute bête à se poser. Google fait de la collecte massive de donnée, au vu et au su de tous, sans s'en cacher. A-t-il un quelconque intérêt à jouer à essayer de collecter en douce des données de formulaires compliquer à exploiter et qui dans l'écrasante majorité des cas lui apporteront au final des données inutiles ou qu'il aura déjà obtenues par un autre moyen ? Le jeu en vaut-il la chandelle face au scandale que soulèverait la découverte du loup ?

Citation (uhflirug @ 13 Oct 2017, 01:21) *
Et ca, tout comme tu fais confiance aux milliers de chercheurs pour vérifier que ... on peut aussi faire confiance au millier de hackers bidouilleurs qui n'ont toujours pas réussi à comprendre ce code, car ils ne l'ont pas 'bypassé', sinon ils auraient pu créer plein de comptes partout etc, spam, pub et argent à la clé. Et ca se saurait tout autant.
2s de recherche sur... Google, et hop : https://2captcha.com/2captcha-api#solving_recaptchav2_new

Citation (uhflirug @ 13 Oct 2017, 01:21) *
Et pour moi deja, avoir n'importe quel tracker sur un site en .gouv.fr c'est une aberration monumentale. même un simple <img http://google.com/image> ...
Là dessus, je suis d'accord. Mais c'est un autre débat. Mais la paranoia et les accusation sans preuves n'aident pas à ce débat, bien au contraire, ça le dessert, parce que pour moi ça a tendance à décrédibiliser les propos.


--------------------
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." - Proverbe Shadok
Go to the top of the page
 
+Quote Post
CPascal
posté 13 Oct 2017, 09:16
Message #49


Adepte de Macbidouille
*

Groupe : Membres
Messages : 226
Inscrit : 15 Nov 2016
Membre no 200 314



Citation (raoulito @ 13 Oct 2017, 01:04) *
alors là pour le coup sartmatt, tu as rendu ce sujet parfaitement incompréhensible. biggrin.gif
Déja notre @uhflirug accumule de longs posts, auquel tu reponds par de longs posts, mais alors on a quasiment des "ratures" là avec des posts croisés, corrigés, re "quotés".. dammit de quoi parle-t-on ?

ça me rassure de voir que je ne suis pas le seul dans ce cas


--------------------
Go to the top of the page
 
+Quote Post
uhflirug
posté 13 Oct 2017, 14:44
Message #50


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



Pas compris le dernier message de starmatt, donc je réponds quelques trucs, mais j'ai pas du bien comprendre en fait, donc pas la peine de répondre des tartines dessus starmatt, ca va embeter raoulito.

> Ne pas confondre quantité et qualité !

Donc là starmatt qui a voulu focaliser sur le Captcha, on parle de très très peu de données, très très interessantes. Et oui, là encore je n'ai pas fait la biblio comme startmatt qui fait ca super bien, mais je parle d'experience. Le volume d'octet de ce qu'on tape au clavier pendant 1 an sur un ordinateur est ridiculement petit. Il n'y a qu'à voir la taille du fichier de log keylogger. Et pourtant beaucoup d'information est là! Donc facile à analyser, à clusteriser...

> On peut reconnaître une adresse mail. Mais s'agit-elle de celle de celui qui a rempli le formulaire ?

Un lien entre 1 user qui a un compte gmail, et 2 adresses emails tapées dans un formulaire, c'est deja pas mal !
Il y a un grand champ de l'analyse des données, qui s'occupe de les traiter sans avoir besoin d'otonlogie. C'est pour ca qu'on voit certains parler de "de la data" et non de "des données".
Et dessus on peut faire de l'apprentissage non supervisé même (et pas la peine de dire que ca ne marche pas bien encore ca, d'experience, ca marche très bien).

> Déjà, vu la faible valeur de données individuelles

toutes les données massives, sont la somme de toutes petites données individuelles ... Certain parlent de colibri qui fait sa part.

> face au scandale que soulèverait la découverte du loup

Pourquoi un scandale ? ce point a déjà été mentionné plusieurs fois.

> https://2captcha.com
c'est interessant, un sorte de amazon turk pour captcha, mais je n'ai pas compris en quoi c'est pertinent là. mais c'est interssant par ailleurs.

>Mais la paranoia et les accusation sans preuves
Mea culpa, au lieu de dire
"l'état qui utilise le captcha de google qui impose au client de donner a google son numero d'immatriculation"
j'aurais du dire:
"l'état qui utilise le captcha de google qui impose au client de montrer a google son numéro d'immatriculation sans pour autant prévaloir que google le lise bien ou non ce qui lui est donné à voir" La nuance est bien faible pour moi.

>Là dessus, je suis d'accord. Mais c'est un autre débat.
Non c'etait CA LE SUJET A L'ORIGINE avant que ça ne s'oriente que sur le Captcha.

Donc Je suis d'accord avec Starmatt (== mon homonyme, ca tombe bien ==) qui est lui même d'accord avec moi. "Google fait de c, au vu et au su de tous, sans s'en cacher". et tout le monde s'en fiche.

Et que poster une news pour dire Google enregistrait des données mais c'était un bug, et google ne le fait plus, ça trompe l'esprit du lecteur. En effet, le lecteur entend par là que Google n'enregistre plus et que si Google collectait massivement les données "ce serait gravissime". Hors justement non, Google enregistre bien les données par ailleurs et "c'est gravissme" justement.

Donc mon message pour bien résumer, ce n'est pas le captcha ni les hobbits, mais c'est de dire que si nous en sommes là avec les gafams, c'est aussi la cause des média responsables tels que macbidouille, qui participent sans bien s'en rendre compte (vu la difficulté de starmatt a comprendre mais justement j'attendais mieux d'un site tel que macbidouille), à normaliser la situation gravissime.

=>

Au lieu de dire quelque chose comme "Finalement non, google n'enregistre pas tout, circulez, il n'y a rien à voir".

J'aurais préféré lire : "En fait google a bien accès à toutes les données traitées et enregistre les méta données" et on peut en extraire 95% d'information avec ça et c'est gravissime".
Go to the top of the page
 
+Quote Post
SartMatt
posté 13 Oct 2017, 15:31
Message #51


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 28 663
Inscrit : 15 Nov 2005
Lieu : Au pied des montagnes
Membre no 49 996



Citation (uhflirug @ 13 Oct 2017, 15:44) *
Donc là starmatt qui a voulu focaliser sur le Captcha, on parle de très très peu de données, très très interessantes.
Pourquoi sont-elles très très intéressantes si on ne connait pas leur contexte ? Une date saisie dans un formulaire, en quoi c'est intéressant si on ne sait pas à quoi elle correspond ?
Une plaque d'immatriculation saisie dans un formulaire, en quoi c'est intéressant si on ne sait pas à quoi elle correspond ?

Citation (uhflirug @ 13 Oct 2017, 15:44) *
Un lien entre 1 user qui a un compte gmail, et 2 adresses emails tapées dans un formulaire, c'est deja pas mal !
Si l'utilisateur a un compte Gmail, les adresse on question Google les a sans doute déjà, dans le carnet d'adresse de l'utilisateur... Et avec des informations utiles sur le lien entre l'utilisateur et cette adresse mail.
Alors qu'une adresse mail quelconque trouvée dans un ensemble de frappes au clavier, sans aucun contexte, ça ne donne aucune information sur le lien entre l'utilisateur qui a rempli le formulaire (celui qui est "identifié" par Google, via les cookies) et cette adresse mail. S'agit-il de la sienne ? De celle d'un contact ? D'une adresse au hasard ?

Citation (uhflirug @ 13 Oct 2017, 15:44) *
C'est pour ca qu'on voit certains parler de "de la data" et non de "des données".
Tu peux expliciter un peu plus cette distinction entre data et données ? Les deux sont synonymes...

Citation (uhflirug @ 13 Oct 2017, 15:44) *
toutes les données massives, sont la somme de toutes petites données individuelles
Oui. Mais justement, face à l'énorme volume de données déjà disponibles pour Google, devoir déployer une certaine puissance de calcul pour réussir à contextualiser et exploiter quelques petites données supplémentaires n'est pas forcément rentable.

Citation (uhflirug @ 13 Oct 2017, 15:44) *
Pourquoi un scandale ? ce point a déjà été mentionné plusieurs fois.
Parce que quand une entreprise collecte en douce des données, pouvant aller jusqu'à de la collecte d'identifiants de connexion à des services tiers, ça fait scandale quand ça se sait.

Et ça peut même mener à des condamnations (ex : https://www.legavox.fr/blog/maitre-anthony-...legal-13772.htm ), condamnations qui, si elles sont actuellement encore un peu faiblardes, la loi ayant évolué moins vite que les capacités de traitement de données, sont amenées à évoluer très fortement à la hausse dans les années à venir.

Citation (uhflirug @ 13 Oct 2017, 15:44) *
> https://2captcha.com
c'est interessant, un sorte de amazon turk pour captcha, mais je n'ai pas compris en quoi c'est pertinent là. mais c'est interssant par ailleurs.
Effectivement, j'avais un lien qui laissait penser que leur méthode la plus chère pour reCaptcha v2 ne passait pas par des humains (là : https://2captcha.com/support/faq/33 ), mais en lisant les détails ailleurs sur leur site, je pense que j'ai mal compris le truc.

Citation (uhflirug @ 13 Oct 2017, 15:44) *
Et que poster une news pour dire Google enregistrait des données mais c'était un bug, et google ne le fait plus, ça trompe l'esprit du lecteur. En effet, le lecteur entend par là que Google n'enregistre plus et que si Google collectait massivement les données "ce serait gravissime". Hors justement non, Google enregistre bien les données par ailleurs et "c'est gravissme" justement.
Ce qui est gravissime, c'est une collecte à l'insu des utilisateurs. À partir du moment où l'utilisateur est informé qu'il y a collecte, en quoi est ce grave ?
Or là, c'est bien ce qu'il se passe avec le bug du Google Home Mini. Avec le bug, il y a une collecte à l'insu de l'utilisateur. Avec le correctif, la collecte n'a lieu que quand l'utilisateur le demande.

Et c'est pareil avec reCaptcha. Si Google récupérait en douce toutes les données saisies dans les formulaire pour les stocker et les exploiter à des fins autres que la stricte fourniture du service reCaptcha, ça serait gravissime.


--------------------
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." - Proverbe Shadok
Go to the top of the page
 
+Quote Post
uhflirug
posté 13 Oct 2017, 18:34
Message #52


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



> Pourquoi sont-elles très très intéressantes si on ne connait pas leur contexte ?
> les adresse on question Google les a sans doute déjà,

elles sont intéressantes car l'utilisateur à passé du temps à les saisir manuellement. D'un point de vue modélisation, ça peut faire une nouvelle arête dans le graph, ou ajouter du poids sur une arête déjà existante. Dans mon historique d'email, par exemple je ne crois pas avoir quelque part mon numéro d'immatriculation apparaître, donc ca peut être des informations nouvelles complémentaires.

> Tu peux expliciter un peu plus cette distinction entre data et données ?

"Des données" data, datum .., on peut les compter. donc les reconnaître et les qualifier. C'est précis, il y a des meta data qui les décrivent etc.
"De la data" ou "de la donnée" , c'est comme de la confiture, on ne peut pas les compter, il y a de tout, mais on peut faire des modèles avec quand même, par exemple issus de la physique statistiques
Mais c'est vrai que souvent pour le grand public c'est souvent synonyme.

> déployer une certaine puissance de calcul

comme on a vu, la puissance de calcul n'est pas forcément importante, c'est du texte, très peu d'octets, (et en plus ca peut etre analysé en javascript donc sur le client).

> Et ça peut même mener à des condamnations
> À partir du moment où l'utilisateur est informé qu'il y a collecte, en quoi est ce grave ?

Cet exemple de condamnation de la CNIL, mis à part que c'est des punitions faibles, pose de nombreux problèmes de fond, sorte de paradoxe que la CNIL refuse de reconnaitre, et ils doivent faire l'autruche peut être car ils n'ont pas de solution.

Exemple 1 de problème: Un utilisateur veut supprimer une page web qui parle de lui. La page web mentionne nom et prenom d'une personne. On pourrait dire que c'est une rumeur pour google. Et bien l'utilisateur doit donner copie de son passeport pour prouver qu'il est bien lui, et quand il fait ca, il authentifie pour google un peu plus ce qui n'etait qu'une rumeur !

Exemple 2 de problème: Supprimer un compte, cela revient en général à juste changer le mot de passe du compte pour plus que l'utilisateur accède à son compte. Mais les données sont bien là, car le user a interagit avec d'autres, et impossible de supprimer les données partagées. Et puis l'IA, c'est de l'apprentissage, du clustering. Donc on peut supprimer un compte, mais l'algo a appris qu'il y a une personne là qui ressemble à ça. Et si c'est supprimé, ca reste dans la perception du monde qu'à l'algo. par contre, il faut juste dire à l'algo qu'il ne doit jamais en reparler de cette personne. A mon avis par exemple ils sont obligés de garder une liste des comptes qui ont été supprimés, pour filtrer ensuite et vérifier qu'ils ne ressortent rien qui appartenait à cette liste. mais ils ne vont pas refaire tourner tous leurs modèles incrémentaux à chaque suppression de compte. Ce problème existe par exemple aussi sur macbidouille si quelqu'un veut supprimer son compte, cela revient juste à changer le nom du compte et à changer le mot de passe pour plus qu'il y accède. Il est amusant de demander la suppression d'un compte blacklistée par exemple sur une de ces plateformes.

Exemple 3 On prévient l'utilisateur de gmail dans les CGV que on enregistre tout sur lui. mais la plateforme connait aussi plein de choses sur ses correspondants. Et ces amis, eux n'ont rien signé comme CGV.. Ca marche aussi pour le cas du captcha qu'on a vu en detail. immatriculation.gouv.fr a peut être coché des CGV, mais moi qui veux rouler dans paris, je n'ai pas signé grand chose.

Exemple 4 Les Gafams ont un monopole aujourd'hui, et on est obligé de passer par elles. Ce n'est pas vrai de dire qu'on a le choix de ne pas utiliser leurs services. Il a pléthore d'exemple. Une personne taguée sur une photo de facebook, si elle n'a pas de compte, elle n'a pas son mot à dire. Donc il vaut mieux qu'elle ait un compte pour pouvoir intervenir ! c'est paradoxal.

Pour moi, tous ces genres de cas sont insolubles, sauf a changer quelques trucs, comme des nationalisations d'algorythmes ou la publication des algos ET des données car juste les algos ca ne sert à rien du tout, car on peut transférer l'intelligence d'un algo dans les données pour tout cacher par exemple ... il y a bien l'homéomorphismecrytographique (le truc qui permet de faire des calculs sur des données cryptées) mais ce n'est pas au point, et ça ne le sera jamais de toute façon car la faille sera ailleurs, car trop complexe, un peu comme pour le vote électronique.

> la loi ayant .. amenées à évoluer très fortement.. dans les années à venir.

C'est le jeu du chat et de la souris. Maintenant que le monopole est établi...

> Si Google récupérait en douce toutes les données saisies dans les formulaire pour les stocker et les exploiter
> à des fins autres que la stricte fourniture du service reCaptcha,
> ça serait gravissime.

Tiens ca me rappelle quand les google car (celle de maps.google..) enregistraient tous les passwords qui circulaient sur les réseaux wifi. L'Autriche a résisté longtemps, et je crois qu'ils ont fini par abdiquer récemment et qu'ils ont autorisé des google cars aussi maintenant dans leur pays. Gravissime ? il ne me semble pas, qui s'en souvient ? Certainement pas Google.

Ce message a été modifié par uhflirug - 13 Oct 2017, 18:36.
Go to the top of the page
 
+Quote Post
mazelle jeanne
posté 13 Oct 2017, 21:46
Message #53


Macbidouilleuse d'or !
*****

Groupe : Membres
Messages : 3 950
Inscrit : 11 Jul 2006
Lieu : paris
Membre no 64 304



Citation (uhflirug @ 13 Oct 2017, 19:34) *
Exemple 3 On prévient l'utilisateur de gmail dans les CGV que on enregistre tout sur lui. mais la plateforme connait aussi plein de choses sur ses correspondants. Et ces amis, eux n'ont rien signé comme CGV...
Exemple 4 Les Gafams ont un monopole aujourd'hui, et on est obligé de passer par elles. Ce n'est pas vrai de dire qu'on a le choix de ne pas utiliser leurs services. Il a pléthore d'exemple. Une personne taguée sur une photo de facebook, si elle n'a pas de compte, elle n'a pas son mot à dire. Donc il vaut mieux qu'elle ait un compte pour pouvoir intervenir ! c'est paradoxal.

Pour moi (et aussi sûrement pour ceux qui veulent tenter de conserver un minimum de vie privée) c'est ça le plus grave et contre quoi on ne peut rien faire. Je n'ai pas de compte Facebook, pas de Twitter, pas de cloud, pas de services Google mais je ne peux pas gérer ce que font mes amis (qui ont par exemple des comptes Yahoo et qui se moquent totalement de savoir que leurs mails sont lus).
Je sais bien qu'aujourd'hui il est illusoire de penser pouvoir se protéger totalement mais au moins essayer de limiter les dégâts.



--------------------
L'humanité est à un croisement : un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
___________________________________________
Imac G5 avec OS 10.4 Tiger
Imac intel core i5 avec Snow Leopard
Go to the top of the page
 
+Quote Post
SartMatt
posté 13 Oct 2017, 22:07
Message #54


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 28 663
Inscrit : 15 Nov 2005
Lieu : Au pied des montagnes
Membre no 49 996



Ok, je comprends mieux ton point de vue, et effectivement, j'avais pas pensé qu'une donnée ajoutée à un ensemble de données peut augmenter la valeur globale de plus que sa propre valeur. Mais il n'en reste pas moins que la donnée contextualisée (par capture du formulaire) vaudra quand même plus et apportera plus que la même donnée noyée dans des données brutes de saisie au clavier.

Tes exemples sont pertinents, et il y a effectivement un vrai problème difficilement soluble de collecte indirecte des données quand des contacts les partagent à notre place.

Mais ça ne me convainc quand même pas que Google ait un intérêt à jouer à ce point avec le feu en collectant des données de formulaire.

Le cas des Google Cars était effectivement grave, mais sans commune mesure avec ça. Les Google Cars ne pouvaient collecter que des données non chiffrées, envoyées sur un réseau Wi-Fi non chiffré. Je vais me faire l'avocat du diable, mais ça c'est limite des données publiques ! La réalité est bien plus complexe bien entendu, l'utilisateur mal informé et mal formé ne connaissant pas la réalité physique qui se cache derrière la consultation d'un site non sécurisé via un réseau sans-fil non chiffré. Pour moi c'est là qu'il y a le plus gros problème, la formation des utilisateurs. J'ai eu le plus grand mal par exemple à faire comprendre à certains de mes contacts que non, je ne veux en aucun cas qu'ils donnent mon adresse mail quand un site leur propose de partager un bon plan avec leurs amis... Des gens à qui ça ne viendrait pas à l'idée d'avoir une conversation de balcon à balcon avec leur voisin font techniquement la même chose quand ils utilisent un réseau Wi-Fi non chiffré, sans le comprendre.

Et même si ce genre d'affaire peuvent finir par se faire oublier du grand public, elles ne sont quand même pas forcément sans conséquence à long terme pour la société concernée. Tout le monde a oublié le scandale de Google Buzz (quand Google avait créé d'office des comptes Buzz à des gens qui n'avaient rien demandé...), mais outre les millions de dollars d'amende (peanuts hélas du point de vue de Google), Google va encore en subir les conséquences jusqu'en 2031, avec des audits réguliers sur ses pratiques en matière de traitement des données personnelles.

Dans le cas de reCaptcha, s'il y avait collecte, elle passerait outre absolument toutes les solutions de chiffrement. On n'est pas du tout sur la même échelle.


--------------------
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." - Proverbe Shadok
Go to the top of the page
 
+Quote Post
iAPX
posté 14 Oct 2017, 02:15
Message #55


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 028
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (mazelle jeanne @ 13 Oct 2017, 16:46) *
Citation (uhflirug @ 13 Oct 2017, 19:34) *
Exemple 3 On prévient l'utilisateur de gmail dans les CGV que on enregistre tout sur lui. mais la plateforme connait aussi plein de choses sur ses correspondants. Et ces amis, eux n'ont rien signé comme CGV...
Exemple 4 Les Gafams ont un monopole aujourd'hui, et on est obligé de passer par elles. Ce n'est pas vrai de dire qu'on a le choix de ne pas utiliser leurs services. Il a pléthore d'exemple. Une personne taguée sur une photo de facebook, si elle n'a pas de compte, elle n'a pas son mot à dire. Donc il vaut mieux qu'elle ait un compte pour pouvoir intervenir ! c'est paradoxal.

Pour moi (et aussi sûrement pour ceux qui veulent tenter de conserver un minimum de vie privée) c'est ça le plus grave et contre quoi on ne peut rien faire. Je n'ai pas de compte Facebook, pas de Twitter, pas de cloud, pas de services Google mais je ne peux pas gérer ce que font mes amis (qui ont par exemple des comptes Yahoo et qui se moquent totalement de savoir que leurs mails sont lus).
Je sais bien qu'aujourd'hui il est illusoire de penser pouvoir se protéger totalement mais au moins essayer de limiter les dégâts.

C'est intéressant car c'est exactement le point fort amené par Edward Snowden sur la protection de la vi privée, même pour ceux qui n'ont "rien à cacher": ils sont récipiendaires d'informations sur d'autres personnes qui, elles, ne souhaitent pas que leur vie privée soit partagée, ni en ligne, ni même dans les serveurs de Google et consors et certainement pas dans ceux de nos amis à 3 lettres smile.gif

Ce message a été modifié par iAPX - 14 Oct 2017, 02:16.


--------------------
Un Mac obsolète, un iPhone qui suit la même voie.
Portraitiste et amateur de garde-temps, avec un coté Dorian Gray.
Go to the top of the page
 
+Quote Post
coucou78
posté 17 Oct 2017, 16:28
Message #56


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 147
Inscrit : 19 Feb 2006
Membre no 55 912



ah , mort de rire ...

Ils vont remplacer la commande tactile (donc hardware) par une vocale : encore plus simple à hacker !

des droles chez R.KURZWEIL !

Fuyez ces objets de daube bon sang, c'est votre perte que vous voulez ou quoi ?????

Ce message a été modifié par coucou78 - 17 Oct 2017, 16:44.


--------------------
Debian power, Free your mind with free stuff ...
Go to the top of the page
 
+Quote Post

2 Pages V  < 1 2
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 21st October 2017 - 20:35