Archives de l’auteur : Fab

Première chantage par e-mail de prétendu vol de données

Je viens de recevoir un e-mail en anglais « nous avons eu votre mot de passe d’e-mail, ce qui nous a permis de récupérer toutes nos données (e-mails, photos, chat…), bla bla bla, on peut les utiliser contre vous, payez 1.500$ par bitcoin », avec comme expéditeur et destinataire mon nom et prénom, et mon e-mail perso (que j’utilise que pour mes communications perso, par pour les achats/forums/…). Petite frayeur temporaire, mais c’est du pipeau.

  • Je regarde les entêtes de l’e-mail, et en fait lorsque les noms et prénoms ne sont pas spécifiés dans le contenu de l’e-mail, mes clients e-mail (fairEmail sous Android et Thunderbird sous Linux) vont les chercher dans leur carnet d’adresse. Bref, l’e-mail n’est pas si ciblé que ça, l’expéditeur n’a que mon adresse e-mail (sûrement récolté dans le carnet d’adresse d’une connaissance).
  • Le serveur source de l’envoi est au Pakistan, pas le serveur de mon hébergeur d’e-mail. Bref, l’expéditeur n’a pas utilisé mon mot de passe e-mail pour l’envoyer. La vérification SPK a échoué.
  • Le corps de l’e-mail spécifie une adresse bitcoin (1JaSs2bTAYVbj6jaqD5Mjfs8gSLYgvYCrK) soit disant unique, ce qui soit-disant leur permettrait de déterminer immédiatement que je l’ai payé. Avec des moteurs de recherche, je vois que des tas de gens ont reçu le même e-mail avec la même adresse bitcoin.

Bref, c’est de l’arrosage large d’une base d’e-mails récupérée arguant de fausses allégations de pénétration de compte, pas de quoi m’inquiéter.

Matériel proprio, obsolescence informatique et tristesse

Je viens de changer la batterie de mon téléphone, et je me suis dit que je pourrais réutiliser ma tablette Nexus 10 (sortie en 2012) pour lire des articles. Je n’ai pas utilisée depuis des années, et elle ne s’allume plus. Changer la batterie coûterait 40€ (sans garantie de succès) et la dernière version d’OS (y compris alternatifs) est antédiluvienne.

Je vois un point commun avec mon mini ordinateur Odroid (et les téléphones en général): ils sont basés sur du matériel dont les pilotes ne sont disponibles que sous la forme de logiciels propriétaires, ce que fait qu’une fois que les mises-à-jour logicielles officielles s’arrêtent les versions communautaires (ex: LineagoOS) finissent par s’arrêter également. Et donc on a le choix entre rester sur une version ante-diluvienne (avec des problèmes de sécurité, des versions de programmes obsolètes et certains ne pouvant être mis à jour) ou devoir changer de matériel. Si le matériel était plus ouvert (comme nombres de composants pour PC), ça augmenterait radicalement la durée de vie des produits. Et donc faute de cela, ma tablette est maintenant un déchet électronique.

Ces apps Android qui ne marchent pas avec un VPN

Ça fait la deuxième application Android qui a un problème avec un VPN.

  • La première est l’infâme SNCF Connect, dont on ne peut pas passer l’écran d’accueil (qui a la bannière de choix de cookies RGPD) si le filtrage de personalDNSfilter (ou Blokada) est activé. Il faudra donc désactiver le filtrage à la première exécution.
  • Avec Arte TV (version 5.28.3), les différentes pages affichent « Aucune connexion Internet » si personalDNSfilter, Blokada ou même Wireguard est activé.
    Solution pour personalDNSfilter: soit le fermer complètement, soit le mettre en « Mode proxy DNS sans VPN local ».

Kubuntu 20.10 à 21.10 : réinstallation partielle

Il était temps de passer ma Kubuntu 20.10 à une version plus récente, étant donné qu’il y a une faille d’élévation de privilège dans polkit/pkexec (CVE-2021-4034) et qu’il n’y a plus de patch pour Kubuntu 20.10 (plus supporté). Et là j’ai découvert que ce n’était plus possible officiellement de passer de Kubuntu 20.10 (groovy) à 21.10 (impish) même indirectement (via la 21.04), sauf à tenter de mettre à jour tous les paquets (pas sûr que ça marche). Donc je suis parti pour une réinstallation.

Continuer la lecture

La Poste: accusé de réception pas garanti, service Réclamations fantoche

Certaines démarches réclament d’envoyer une lettre recommandée avec accusé de réception avec accusé de réception afin d’avoir la preuve juridique que l’interlocuteur l’a reçue (et donc ne puisse pas prétendre n’avoir reçu aucune demande). Comme la lettre peut être assurée, cela laisse supposer que l’on a la garantie soit d’avoir l’accusé de réception, soit l’indemnisation. Et bien non.

Il m’est arrivé qu’une telle lettre soit reconnue comme arrivée par le système de suivi de la Poste, mais de ne jamais recevoir l’accusé de réception, et suite à cela il m’a été impossible d’obtenir indemnisation.

Continuer la lecture

L’UNHCR ne supprime pas mon numéro de téléphone… et m’appelle.

Mauvaise pratique d’ONG: appeler les gens au téléphone, et ne pas gérer la suppression informatique du dit numéro.

J’avais fait par le passé un don (défiscalisé) au Haut Commissariat des Nations unies pour les réfugiés. Dans le formulaire, j’avais indiqué mon numéro de portable. Plus tard, j’ai reçu un appel (un enregistrement!) me demandant d’aider pour les réfugiés afghans. Si la situation m’interpelle, je n’aime pas le spam, et pire encore le spam téléphonique par des robots (l’arme des pires télé-marketeurs et arnaqueurs).

Dans leurs e-mails d’information, je trouve en bas un lien « Vos données », j’y trouve mon numéro et le supprime.

Plus tard, je reçois un appel de l’UNHCR (par un humain cette fois). Je lui indique, un peu énervé, que je ne désire pas être appelé et que j’avais supprimé mon numéro de téléphone de leur base.

Plus tard, par curiosité, je regarde si dans le lien « Vos données » mon numéro y apparaît. Le doute m’envahit: peut-être que j’avais fait une erreur de manip? Peut-être qu’il y avait eu un problème réseau passager. Je supprime donc mon numéro à nouveau. Cette fois je m’assure de ré-ouvrir le lien pour vérifier qu’il a disparu. J’ouvre les liens dans leurs autres e-mails: le numéro n’est plus là.

Quelques jours plus tard, je regarde à nouveau: mon numéro est de retour! Je vais le changer pour le numéro de l’UNHCR (en espérant qu’il soit sauvé). Je leur ai donc écrit (frapa@unhcr.org) pour demander la suppression de mes données (RGPD) et leur ai fait part de mon mécontentement.

Conclusions:

  • Leur système d’information est moisi (ou alors est-ce à dessein?).
  • Ils sont aussi pressants que des commerciaux qui doivent remplir leurs objectifs de ventes. Je comprends bien que la situation des réfugiés afghans est grave, mais ces méthodes agissent pour moi comme un repoussoir. Comme il y a d’autres ONG à qui donner pour cette crise (MSF, Action contre la faim…), je choisis le moratoire sur l’UNHCR.

Ces sites web qui rejettent les internautes d’OVH

OVH est tristement connu pour héberger certains spammeurs. Certains sites web rejettent les requêtes venant des adresses IP d’OVH pour éviter demandes malicieuses automatisées, mais cela est parfois mal configuré: au lieu de rejeter uniquement les IP de la partie hébergement d’OVH (AS16276), ils rejettent aussi celles de la partie télécoms d’OVH (AS35540). Donc:

  • Par le passé je ne pouvais pas modifier Wikipédia en IPv6 (apparemment les adresses IPv6 devaient être mal déclarées).
  • Je ne peux pas consulter rateyourmusic.com (page de refus générique). Pas de réponse pour un déblocage.
  • Le site du vendeur de chaussure Veja s’est fait pirater et ils demandent à leurs clients de changer de mot de passe. Mes tentatives étaient rejetées (message d’erreur: trop de tentatives de changement, veuillez réessayer plus tard ou nous contacter par e-mail). En fait, cela fonctionne depuis mon accès 4G, et donc ils rejettent toutes les tentatives faites depuis OVH.
  • Fnac.com rejette l’ajout d’e-carte. Après avoir rempli le numéro et le code PIN de la carte et après avoir cliqué sur le bouton « Ajouter », visuellement rien ne se passe. En fait, dans les outils développeur du navigateur, je peux voir qu’il y a eu une requête Ajax contenant ces codes et une réponse 403 (Forbiden) qui a pour corps de texte de l’HTML (dont le code laisse penser qu’il veut afficher un CAPTCHA).
    Le site n’a pas de formulaire ou d’e-mail pour signaler les problèmes techniques. Ai-je envie d’appeler le support client pour leur parler de plage IP et de JavaScript? Non!
    Contournement (triste) si vous avez un forfait mobile et un téléphone qui permet le partage en Wi-Fi: quand vous êtes sur la page de paiement, basculez sur le wi-fi de votre téléphone juste pour ajouter l’e-carte. Une fois celle-ci accepter, vous pouvez repasser à votre réseau (filaire ou wi-fi) normal.

Accident de vélo-voiture sans blessure et délit de fuite

Récemment un automobiliste m’est rentré dedans par derrière alors que j’avais ralenti pour céder la priorité à droite à une autre voiture. Je n’ai pas été blessé, mais il a roulé sur ma roue arrière, m’a accusé d’être en tord, a refusé de faire un constat et est parti. Voici les conseils que je peux vous donner dans un tel cas:

  • Si vous êtes absolument sûr que vous n’êtes pas blessé, alors la résolution est sensée se faire à l’amiable. Si il y a le moindre doute de blessure, je dirais qu’il faut appeler les pompiers ou la police. De ce que j’ai compris, la loi Badinter ne s’applique que si il y a blessures.
  • Restez courtois, constructif et factuel (mais ferme). Si vous êtes agressif, le fautif pourra argumenter sur la forme de vos paroles pour faire diversion.
  • Rassemblez des preuves. Si les véhicules sont encore dans la position de l’accident et que la sécurité le permet, prenez des photos.
  • Si il y a des témoins, prenez leurs coordonnées. Ça ne coûte pas grand chose, et si l’automobiliste est par la suite de mauvaise foi, ce sera très utile.
  • En cas de refus de constat (il est légal de refuser de faire un constat amiable, mais la réparation du préjudice est obligatoire):
    • Prendre immédiatement la photo du véhicule, de la plaque et de l’automobiliste.
    • Je pense qu’il est primordial d’aller noter les coordonnées de l’assurance visible à l’avant de la voiture (car c’est l’assurance qu’il faudra contacter)
    • Demander les noms et coordonnées du conducteur.
  • Si l’automobiliste part sans donner ses coordonnées, il faudra le retrouver. Si votre vélo est assuré (ce n’est pas le cas de mon assurance habitation), votre assurance devrait faire les démarches de recherche à partir de la plaque d’immatriculation ou de l’assurance, puis celles auprès de l’assurance de automobiliste.
  • Par contre, si vous n’êtes pas assuré, ce sera à vous de faire les démarches de recherche, puis des démarches de déclaration et d’indemnisation auprès de l’assurance adverse. Comme seules les assurances, les administrations et la police ont accès aux fichiers des assurances, la recherche passera par une plainte. La police pourrait vous refuser le dépôt de plainte avec l’argument que sans blessure il s’agit de procédure civile et non pénale, et également que vue que l’auteur s’est arrêté il n’y a pas délit de fuite (article 434-10 du code pénal), et donc qu’il faut porter plainte par courrier auprès du procureur. Selon cet article (voir en bas), une cour de cassation a condamné (arrêt du 18 octobre 2017) une automobiliste qui s’était arrêtée, avait vu les dégâts et était repartie (sa plaque avait été notée par un témoin), donc vous êtes en droit de porter plainte au pénal. C’est aussi l’analyse de la Mamut (« S’il refuse de vous communiquer ces informations indispensables, et même s’il a immobilisé son véhicule, l’automobiliste commet un délit de fuite. »). Selon l’article R231-1 du code de la route, « Tout conducteur ou tout usager de la route impliqué dans un accident de la circulation doit: Lorsque l’accident n’a provoqué que des dégâts matériels, communiquer son identité et son adresse à toute personne impliquée dans l’accident ».
    Si la police refuse de prendre votre plainte (j’ai essuyé 2 refus au commissariat), vous pouvez arguer de la condamnation ci-dessus, et également que selon l’article 15-3 du code de procédure pénale « Les officiers et agents de police judiciaire sont tenus de recevoir les plaintes déposées par les victimes d’infractions à la loi pénale ».
  • Si on ne veut toujours pas prendre votre plainte, vous pouvez faire une pré-plainte en ligne.
    • Avantages: vous pourrez formuler calmement les faits, et la police sera dans l’obligation de vous recevoir. Quand vous serez reçu, vous aurez peut-être moins d’attente et l’écriture du texte de la plainte sera plus rapide.
    • Inconvénients: il faut bien scruter ses e-mails (j’ai reçu une réponse le lendemain, mais classée dans les spams par Free, et je ne l’ai vu que 2 semaines plus tard), si l’e-mail de réponse vous demande de rappeler cela peut être la galère à avoir le service (après 1h30 de tentative un lundi, on m’a dit de rappeler le mercredi, et là encore j’ai dû faire de nombreuses tentatives). Le bureau n’a l’air d’être ouvert que pendant les heures de travail, donc j’ai accepté le premier créneau libre (le lundi matin suivant) et ai pris une demi-journée de congé. Je me demande comment font ceux dont le travail ne permet pas de passer des plombes au téléphone et de s’absenter du boulot.

Épilogue temporaire: Je suis sans vélo, je ne peux le réparer car c’est à l’assurance de l’automobiliste de le prendre en charge, mais selon le policier qui a pris ma plainte je dois m’attendre à plus de 6 mois pour l’enquête.

Prixtel: formulation floue et +10€ pour les DOM

J’avais souscrit à une offre de téléphonie Prixtel à 4.99€ (qui sera à 9.99€ après un an) dont la description sur leur site était:

« Appels/SMS/MMS illimités depuis la France vers la France ».

Pour moi « la France » désigne l’ensemble du territoire national, donc aussi les départements d’outre-mer (mon poil s’hérisse quand certains ultramarins et métropolitains appelle la territoire métropolitain « la France », comme si les DOM étaient à part, tels des sous-provinciaux). Donc je j’avais pas prêté attention aux lignes suivantes:

« Appels/SMS​ illimités depuis la France, vers les fixes / mobiles d’Europe (UE), DOM, Amérique du Nord (tarification à 14,99€ les 12 premiers mois, puis 19,99€) »

Au début les appels et SMS vers des mobiles DOM étaient facturés comme des 06 métropolitains. Ce mois-ci cela a cessé, et j’ai été facturé 10€ de plus. Je vais devoir dire au revoir à Prixtel car leur offre ne m’est pas adapté…

J’ai trouvé 2 offres alternatives avec des appels/SMS illimités vers les DOM:

  • une n-ième offre promotionnelle temporaire (Bouygues cette fois) à 20Go pour 5€ au lieu de 20€, qui selon les conditions de vente comprend « Appels et SMS illimités 24h/24 vers la France métropolitaine et les DOM ».
  • l’offre hors/promo de Syma de 5Go pour 5€ sur réseau Orange.